为 什么 要 写 这 本 书 


不 知 不 觉 接触 Linux (之 前 用 的 是 Solaris) 已 经 有 16 个 年 头 了 ， 在 这 16 年 的 运 维 职业 生涯 中 ， 我 走 了 相当 多 的 弯路 ， 特 别 是 头 两 年 ， 相 当 迷 茫 、 仿 德 ， 最 要 命 的 是 无 论坛 么 努力 学 习 和 坚持 ， 就 是 感觉 
自己 没有 入 门 。 那 时 ， 优 秀 的 学 习 书籍 寥 容 无 几 ， 工 作 中 也 无 人 指导 ， 更 没有 规范 的 培训 机 构 ， 一 遇 到 服务 器 故障 就 会 无 所 适 从 ， 无 数 次 都 是 在 痛苦 的 挣扎 中 度 过 的 ， 也 有 无 数 次 想 要 放弃 学 习 Linux。 


后 来 我 慢 慢 地 积累 了 一 些 经 验 ， 有 了 自己 的 运 维 心 得 。 在 我 的 运 维 技术 有 了 质 的 飞跃 之 后 ， 我 开始 酝酿 一 套 Linux 培 训 体系 课程 ， 最 初 的 目的 就 是 希望 大 家 不 要 重 走 我 走 过 的 弯路 ， 因 为 这 条 路 充满 了 研 
棘 ， 一 不 小 心 就 可 能 走 不 出 来 了 。 


经 过 一 段 时 间 的 酝酿 ， 我 将 自己 的 想法 写成 一 份 项 目 策划 书 ， 发 给 了 公司 领导 ， 希 望 公司 能 够 开展 IT 培训 相关 的 业务 ， 而 我 可 以 负责 这 块 业务 。 领 导 首肯 了 我 的 策划 书 ， 但 是 在 接 下 来 的 日 子 没 有 任何 
行动 ， 可 能 是 觉得 时 机 不 够 成 熟 吧 。 


但 是 我 的 心 却 被 策划 书 给 搜 走 了 ， 于 是 开始 了 我 的 兼职 1T 培 训 生涯 ， 这 就 是 “ 老 男 孩 |T 教 育 ” 的 前 身 。 在 多 年 的 培训 过 程 中 我 发 现 ， 很 多 小 伙伴 因为 条 件 的 限制 无 法 到 北京 现场 学 习 ， 虽 和 然 我们 也 录制 
了 大 量 网 络 视频 ， 但 还 是 有 网 友 非 常 希望 老 男孩 能 够 把 讲课 的 内 容 整理 成 书 ， 以 便 深 入 学 习 。 看 到 小 伙伴 们 热切 的 期 队 ， 我 心动 了 ， 于 是 开始 计划 把 讲课 的 内 容 整理 成 书 ， 让 全 国 的 小 伙伴 都 能 够 从 中 受 


全 。 


但 是 由 于 培训 讲课 的 排 期 很 紧 ， 课 程 很 多 ， 平 时 还 要 在 企业 里 工作 ， 而 且 写 书 和 讲课 也 是 不 同 的 路 数 ， 因 此 写 书 计划 被 一 次 次 地 搁浅 ， 直 至 遇 到 了 她 一 一 机 械 工业 出 版 社 华章 公司 的 Lisa， 正 是 因为 她 
的 执着 、 包 容 、 鼓 励 ， 使 得 我 有 足够 的 信心 和 动力 完成 此 书 ， 并 且 即 将 策划 与 Linux 运 维 实战 相关 的 更 多 图 书 ， 这 些 书后 续 会 一 一 与 大 家 见面 。 


目前 ， 全 球 进入 了 “互联 网 +” 时 代 ， 越 来 越 多 的 传统 企业 都 在 考虑 通过 网 络 提供 产品 和 服务 ， 包 括 互 联网 + 教育 、 互 联网 + 金融 、 互 联网 电 商 、 互 联网 + 出 租车 、 互 联网 + 保险 等 。 而 互联 网 的 背后 就 
是 Linux 技 术 的 时 代 (包括 移动 互联 网 在 内 ) ， 掌 握 Linux 运 维 技术 已 经 成 为 每 一 个 IT 技术 人 员 的 必 经 之 路 ， 本 书 的 中 小 规模 网 站 集群 架构 实战 就 是 构建 在 Linux 系 统 上 的 高 性 能 、 高 并 发 企业 级 网 站 集群 架构 
上 的 解决 方案 ! 


读者 对 象 
“ Linux 系 统管 理 员 和 运 维 工程 师 
“ 互联 网 网 站 开发 及 数据 库 管理 人 员 
“ 网 络 管 理 员 和 项 目 实施 工程 师 
“ Linux 相 关 售 前 售后 技术 工程 师 
“ 开设 Linux 相 关 课 程 的 大 中 专 院 校 


: 对 Linux 感 兴趣 的 人 群 


如 何 阅读 本 书 


本 书 针对 中 小 规模 网 站 集群 的 搭建 、 部 署 、 优 化 进行 了 详细 讲解 ， 全 书 可 分 为 三 大 部 分 ， 其 中 第 一 部 分 介绍 与 Linux 相 关 的 基础 且 重 要 的 知识 ， 第 二 部 分 针对 当下 流行 的 Web 环 境 架 构 (LNMP) 的 搭建 
及 企业 级 Web 优 化 等 进行 了 讲解 ， 第 三 部 分 介绍 Web 集 群 后 端的 数据 存储 及 Web 集 群 前 端的 负载 均衡 和 高 可 用 。 如 果 你 是 一 名 经 验 丰 富 的 资深 Linux 用 户 ， 可 以 直接 阅读 第 二 部 分 内 容 ; 如 果 你 是 一 名 Linux 
初学 者 ， 请 务必 从 第 1 章 的 基础 知识 开始 学 习 。 


第 一 部 分 为 基础 篇 (第 1~4 章 ) ， 简 单 地 介绍 了 Linux 的 历史 沿革 、Linux 的 企业 级 选 型 、 学 习 环境 的 搭建 、Linux 的 企业 级 系统 安装 、Linux 系 统 的 基础 优化 ， 以 及 远程 连接 Linux 及 客户 端 SSH 的 设置 
等 ， 最 后 比较 深入 地 讲解 了 HTTP 协 议和 WWW 服 务 相 关 知 识 ， 为 读者 搭建 企业 级 Web 集 群 环境 做 好 了 准备 。 


第 二 部 分 为 Web 服 务 篇 (第 5~8 章 ) ， 着 重 讲解 了 Linux、Nginx、MySQL、PHP (LNMP) 等 当下 流行 的 Web 环 境 架 构 的 搭建 、 开 源 blog 网 站 产品 的 安装 部 署 、Web 优 化 等 知识 。 为 读者 搭建 企业 级 
完整 的 网 站 Web 集 群 架构 做 好 了 准备 。 


第 三 部 分 为 集群 篇 (第 9~15 章 ) ， 着 重 讲解 了 Web 集 群 后 端的 MySQL 数 据 库 、Web 集 群 共享 存储 NFS、Nginx 反 向 代理 负载 均衡 、Keepalived 高 可 用 、Memcached 缓 存 及 session 共 享 、Nagios 企 业 
级 监控 等 技术 实战 ， 最 后 为 读者 规划 了 一 个 中 等 规模 的 网 站 集群 架构 解决 方案 。 


勘误 和 支持 


由 于 作者 的 水 平 有 限 ， 加 之 编写 的 时 间 仓 促 ， 书 中 难免 会 出 现 一 些 错误 或 者 不 准确 的 地 方 ， 不 妥 之 处 在 所 难免 ， 朋 请 读者 批评 指正 。 你 可 以 将 书 中 的 错误 发 布 到 我 专门 为 本 书 准备 的 博客 地 址 
处 : http://oldboy.blog.51cto.com/2561410/1713128， 或 者 在 我 的 微 博 (http://weibo.com/oldboy8) 上 留言 。 同 时 如 果 你 遇 到 任何 问题 ， 可 以 加 入 我 为 本 书 提供 的 两 个 QQ 交流 群 (339128815 和 
226199808) ， 我 将 尽量 为 读者 提供 最 满意 的 解答 。 书 中 所 需 的 各 种 工具 及 程序 文件 也 都 将 发 布 在 上 述 QQ 群 及 我 的 博客 网 站 上 ， 我 也 会 将 本 书 的 勘误 等 及 时 更 新 。 如 果 你 有 更 多 的 宝贵 意见 ， 也 欢迎 你 发 
送 邮件 至 我 的 邮箱 (oldboy@oldboyedu.com) ， 我 很 期 待 能 够 听 到 你 们 的 真挚 反馈 。 
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第 1 章 ”Linux 系 统 介绍 与 环境 搭建 准备 


本 章 以 操作 系统 的 介绍 作为 开篇 ， 首 先 介绍 操作 系统 的 基础 概念 及 操作 系统 的 原理 ; 然后 ， 带 领 读 者 了 解 UNIX 的 发 展 史 以 及 市 面 上 常见 的 UNIX 系 统 版 本 ， 并 对 UNIX/Linux 诞 生 及 发 展 情况 进行 了 说 
明 ， 附 带 介绍 了 发 展 过 程 中 的 关键 人 物 ; 之 后 ， 讲 解 需要 重点 掌握 的 GNU、GPL 等 名 词 知 识 ， 并 对 本 书 “ 主 人 公 ”Linux 的 优秀 特性 、 常 见 的 Linux 发 行 版 本 及 不 同 场景 下 的 选择 进行 了 分 析 ; 最 后 ， 带 读者 


了 解 互 联网 常用 的 两 个 重点 Linux 版 本 : CentOS 和 Red Hat Linux， 并 完成 CentOS Linux 的 基本 环境 搭建 准备 工作 。 


1.1 Linux 简 介 


1.1.1 什么 是 操作 系统 


如 果 被 问 到 什么 是 操作 系统 ， 可 能 很 多 初学 者 都 会 一 脸 茫 然 。 虽 然 我 们 都 知道 平时 一 直 在 用 的 Windows XP、Windows 7、Windows 8 其 实 就 是 操作 系统 ， 却 无 法 准确 给 出 操作 系统 的 定义 ， 或 者 向 提 


问 者 解释 清楚 什么 是 操作 系统 。 


操作 系统 ， 英 文 名 称 为 Operating System， 简 称 OS， 是 计算 机 系统 中 必 不 可 少 的 基础 系统 软件 ， 它 是 应 用 程序 运行 及 用 户 操 作 必 备 的 基础 环境 支撑 ， 是 计算 机 系统 的 核心 。 


它 除了 直接 管理 计算 机 系统 的 各 种 硬件 资源 (如 CPU、 内 存 、 磁 盘 等 ) 以外， 还 会 对 系统 资源 供需 的 优先 顺序 进行 管理 。 此 外 ， 操 作 系 
同时 ， 它 也 负责 对 计算 机 系统 中 各 类 软件 资源 进行 管理 (例如 各 类 应 用 软件 的 安装 、 运 行 环境 设置 等 ) 。 图 1-1 是 操作 系统 与 计算 机 硬 


操作 系统 的 作用 是 管理 和 控制 计算 机 系统 中 的 硬件 和 软件 资源 ， 
统 还 可 以 控制 设备 的 输入 、 输 出 及 操作 网 络 与 管理 文件 系统 等 事务 。 
件 、 软 件 之 间 的 关系 示意 图 。 


综 上 所 述 ， 可 以 给 操作 系统 一 个 基本 的 定义 : 
操作 系统 是 计算 机 系统 中 必 不 可 少 的 基础 系统 软件 ， 它 的 作用 是 管理 和 控制 计算 机 系统 中 的 硬件 和 软件 资源 ， 合 理 地 组 织 计算 机 系统 的 工作 流程 ， 以 便 有 效 地 利用 这 些 资源 为 使 用 者 提供 一 个 功 
大 、 使 用 方便 的 操作 环境 。 它 在 计算 机 系统 (硬件) 与 使 用 者 之 间 起 到 接口 的 作用 。 


上 面 的 定义 听 起 来 是 不 是 有 些 复杂 ? 那 老 男孩 就 来 帮助 大 家 更 简单 快速 地 理解 什么 是 操作 系统 。 操 作 系统 就 是 处 于 用 户 与 计算 机 系统 硬件 之 间 用 于 传递 信息 的 系统 程序 软件 。 例 如 : 操作 系统 会 在 接收 
到 用 户 输入 的 信息 后 ， 将 其 传 给 计算 机 系统 硬件 核心 进行 处 理 ， 然 后 再 把 处 理 结果 返回 给 使 用 者 。 图 1-2 是 简单 理解 操作 系统 作用 的 示意 图 。 


命令 解释 shell 


图 1-1 操作 系统 与 计算 机 软 硬 件 关系 示意 图 


1-2 简单 理解 操作 系统 作用 的 示意 图 


目前 PC (Intel x86 系 列 ) 上 比较 常见 的 操作 系统 有 Windows、Linux、DOS、UNIX 等 。 


1.2 Linux 的 起 源 


1.2.1 UNIX 的 历史 


说 到 Linux 的 起 源 ， 就 不 得 不 提 到 Linux 之 前 的 UNIX 系 统 。UNIX 系 统 于 1969 年 在 AT&T 的 贝尔 实验 室 诞生 ，20 世 纪 70 年 代 它 逐步 盛行 ， 这 期 间 又 产生 了 一 个 比较 重要 的 分 支 ， 就 是 大 约 1977 年 诞生 的 
BSD (Berkeley Software Distribution) 系统 。 从 BSD 系 统 开始 ， 各 大 厂商 及 商业 公司 根据 自身 公司 的 硬件 架构 ， 并 以 BSD 系 统 为 基础 进行 UNIX 系 统 的 研发 ， 从 而 产生 了 各 种 版 本 的 UNIX 系 统 ， 例 如 : 
SUN 公 司 的 Solaris、IBM 公 司 的 AIX、HP 公 司 的 HP_ UNIX 等 。 图 1-3 给 出 了 UNIX 系 统 诞生 、 发 展 的 时 间 及 版 本 分 支 介绍 ， 供 读者 参考 。 
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1-3 ”UNIX 诞生 及 版 本 分 支 发 展 简略 图 解 


在 图 1-3 中 可 以 看 到 ， 本 书 的 “主人 公 ”Linux 系 统 诞 生 于 1991 年 左右 ， 可 以 说 Linux 是 从 UNIX 发 展 而 来 的 。 


1.3 Linux 核 心 概念 知识 


1.3.1 自由 软件 与 FSF 


1. 自 由 软件 


简单 地 理解 ， 自 由 软件 的 核心 就 是 没有 商业 化 软件 版 权 制 约 ， 源 代码 开放 ， 可 无 约束 自由 传播 。 


Bt: 自由 软件 强调 的 是 权利 问题 ， 而 非 是 否 免费 的 问题 。 大 家 一 定 要 理解 这 个 概念 ， 自 由 软件 中 的 自由 是 “言论 自由 ”中 的 “自由 ”， 而 不 是 “免费 啤酒 ”中 的 “免费 ”。 


自由 意味 着 freedom ， 而 免费 意味 着 free， 这 是 完全 不 同 的 概念 。 例 如 : Red Hat Linux 自 由 但 不 免费 ，CentOS Linux 是 自由 且 免 费 的 。 


自由 软件 关 平 使 用 者 运行 、 复 制 、 发 布 、 研 究 、 修 改 和 改进 该 软件 的 自由 。 更 精确 地 说 ， 自 由 软件 赋予 软件 使 用 者 四 种 自由 中 ]: 


“不论 目 的 为 何 ， 有 运行 该 软件 的 自由 。 

: 有 研究 该 软件 如 何 运行 ， 以 及 按 需 改写 该 软件 的 自由 。 当 然 ， 取 得 该 软件 源 代码 为 达成 此 目的 之 前 提 。 

“ 有 重新 发 布 拷贝 的 自由 。 

“ 有 改进 该 软件 ， 以 及 向 公众 发 布 改 进 的 自由 ， 这 样 整个 社 群 都 可 受 患 。 同 样 ， 取 得 该 软件 的 源码 为 达成 此 目的 之 前 提 。 


2FSF 


FSF (Free Software Foundation) 的 中 文 意思 是 自由 软件 基金 会 ， 是 Richard Stallman 于 1984 年 发 起 和 创办 的 。FSF 的 主要 项 目 是 GNU 项 目 。 它 的 目的 是 建立 可 自由 发 布 和 可 移植 的 类 UNIX 操 作 系 
统 产品 。GNU 项 目 本 身 产生 的 主要 软件 包括 : Emacs 编 辑 软 件 、gcc 编 译 软件 、bash 命 令 解 释 程 序 和 编程 语言 ， 以 及 gawk (GNU'”s awk) 等 。 


四 此 部 分 内 容 参 考 自 GNU 官 方 网 站 。 


1.4 Linux 的 特点 


1.4.1 Linux 为 什么 受 欢 迎 


Linux 以 高 效 和 灵活 著称 。Linux 运 行 于 PC 上 ， 可 以 实现 几乎 全 部 的 UNIX 特 性 ， 同 时 具有 多 任务 、 多 用 户 的 能 力 ， 支 持 多 线程 、 多 CPU。Linux 是 在 GNU 通 用 公共 许可 (GPL) 权限 下 免费 获得 的 ， 是 一 
个 符合 POSIX 标 准 的 操作 系统 。 


Linux 操 作 系统 软件 包 不 仅 包括 完整 的 Linux 操 作 系统 ， 而 且 还 包括 了 文本 编辑 器 、 高 级 语言 编译 器 ， 以 及 X-Windows 图 形 用 户 界面 等 应 用 软件 ， 使 用 Linux 也 可 以 像 使 用 Windows 7、Windows 8 一 
样 ， 通 过 窗口 、 图 标 和 菜单 对 系统 进行 操作 ， 当 然 ， 这 是 Linux 个 人 桌面 领域 的 应 用 ， 在 服务 器 领域 绝 大 多 数 场景 下 都 还 是 使 用 命令 行 、 文 本 模式 操作 Linux 的 。 


Linux 系 统 之 所 以 受到 广大 计算 机 爱好 者 的 喜爱 ， 主 要 原因 有 两 个 : 


一 是 ，Linux 属 于 自由 软件 ， 用 户 不 用 支付 任何 费用 就 可 以 获得 系统 和 系统 的 源 代 码 ， 并 且 可 以 根据 自己 的 需要 对 源 代码 进行 必要 的 修改 ， 无 偿 使 用 ， 无 约束 地 自由 传播 。 


二 是 ，Linux 具 有 UNIX 的 全 部 优秀 特性 ， 任 何 使 用 UNIX 操 作 系 统 或 想 要 学 习 UNIX 操 作 系统 的 人 ， 都 可 以 通过 学 习 Linux 来 了 解 UNIX， 同 样 可 以 获得 UNIX 中 的 几乎 所 有 优秀 功能 ， 并 且 Linux 系 统 更 开 
放 ， 社 区 开发 和 全 世界 的 使 用 者 也 更 活跃 。 


1.5 ”Linux 的 应 用 领域 


1.5.1 “IT 服务 器 Linux 系 统 应 用 领域 


如 今 的 IT 服务 器 领域 是 Linux、UNIX、Windows 三 分 天 下 ，Linux 系 统 可 谓 后 起 之 秀 ， 特 别 是 最 近 几 年 来 ， 服 务 器 端 Linux 操 作 系统 不 断 地 扩大 市 场 份额 ， 每 年 增长 势头 迅猛 ， 并 且 开 始 对 Windows 及 
UNIX 服 务 器 市 场 的 地 位 构成 严重 威胁 。 图 1-7 是 国内 服务 器 端 各 个 系统 使 用 百分比 的 一 个 参考 饼 图 。 


其 他 : 0.7%、 
Solaris: 6.2%——— 


Ubuntu 13.0: 8.5% 一 


Windows: 12.8%O— -CentOS6.4. 45% 


CentOS $5.8: 26.8% 


图 1-7 服务 器 端 系统 使 用 百分比 图 


从 图 1-7 中 可 以 看 出 ，Linux 占 80% 左 右 (包括 CentOS、Ubuntu 等 ) ，Windows 占 12.8%，Solaris 占 6.2%。 可 见 ， 在 未 来 的 服务 器 领域 市 场 里 Linux 是 大 势 所 趋 。 


Linux 作 为 企业 级 服务 器 的 应 用 十 分 广泛 ， 利 用 Linux 系 统 可 以 为 企业 构架 WWW 服 务 器 、 数 据 库 服 务 器 、 负 载 均衡 服务 器 、 邮 件 服务 器 、DNS 服 务 器 、 代 理 服 务 器 (透明 网 关 ) 、 路 由 器 等 ， 不 但 使 企 
业 降 低 了 运营 成 本 ， 同 时 还 获得 了 Linux 系 统 带 来 的 高 稳定 性 和 高 可 靠 性 ， 且 无 须 考虑 商业 软件 的 版 权 问题 。 


随 着 Linux 在 服务 器 领域 的 广泛 应 用 ， 近 几 年 来 ， 该 系统 已 经 渗透 到 电信 、 人 金融、 政府 、 教 育 、 银 行 、 石 油 等 各 个 行业 ， 同 时 各 大 硬件 厂商 也 相继 支持 Linux 操 作 系统 。 这 一 切 表明 ，Linux 在 服务 器 市 场 
前 景 光 明 。 同 时 ， 大 型 、 超 大 型 互联 网 企业 (百度 、 新 浪 、 淘 宝 等 ) 都 在 使 用 Linux 系 统 作为 其 服务 器 端的 程序 运行 平台 ， 全 球 及 国内 排名 前 十 的 网 站 使 用 的 几乎 都 是 Linux 系 统 ，Linux 已 经 逐步 渗透 到 各 个 
领域 的 企业 里 。 


1.6 ”如 何 选择 Linux 的 发 行 版 


1.6.1 “Linux 的 发 行 版 本 介绍 


Linux 内 核 (kernel) 版 本 主要 有 4 个 系列 ， 分 别 为 Linux kernel 2.2、Linux kernel 2.4、Linux kernel 2.6、Linux kernel 3.x， 更 多 更 新 的 内 核 版 本 请 浏览 https://www.kernel.org/。 


Linux 的 发 行商 包括 Slackware、Red Hat、Debian、Fedora、TurboLinux、Mandrake、SUSE、CentOS、Ubuntu、 红 旗 、 鹿 馆 …… 


下 面 来 看 看 其 中 几 个 重要 的 发 行 版 本 。 


“ Red Hat: Red Hat Linux 9.0 的 内 核 为 2.4.20。 在 版 本 9.0 后 ，Red Hat 不 再 遵循 GPL 协 议 ， 成 为 收费 产品 (但 仍 开 源 ) ， 发 展 的 新 版 本 依次 为 Red Hat 3.x、Red Hat 4.x、Red Hat 5.x、Red Hat 6.x、Red Hat 
了 za 


' Fedora: Red Hat 的 一 个 分 支 ， 仍 遵循 GPL 协议 ， 可 以 认为 是 Red Hat 预 发 布 版 。 


“ CentOS (Community Enterprise Operating System) : Red Hat 的 另 一 个 重要 分 支 ， 以 Red Hat 所 发 布 的 源 代码 重建 符合 GPL 许 可 协议 的 Linux 系 统 ， 即 将 Red Hat Linux 源 代码 的 商标 (LOGO) 及 非 自 由 软 
件 部 分 去 除 后 再 编译 而 成 的 版 本 。 目 前 CentOS 已 被 Red Hat 公 司 收购 ， 但 仍 开源 免费 。CentOS Linux 是 国内 互联 网 公司 使 用 最 多 的 Linux 系 统 版 本 ， 也 是 本 书 的 “主人 公 ”， 本 书后 面 所 有 的 内 容 讲解 都 是 基于 
CentOS 这 个 操作 系统 的 ， 绝 大 部 分 内 容 几乎 无 需 任何 修改 即 可 适合 其 他 Linux 操 作 系 统 版 本 。 


a: 有 关 Linux 操 作 系 统 ， 记 住 Red Hat、CentOS、Ubuntu、Fedora、SUSE、Debian 等 即 可 。 对 于 Red Hat 与 CentOS 的 区 别 和 联系 ， 有 时 会 被 企业 面试 官 问 到 ， 需 要 重点 了 解 。 


1.7 ”搭建 学 习 Linux 的 运 维 环境 


1.7.1 ”虚拟 机 软件 介绍 


简单 地 说 ， 虚 拟 机 (Virtual Machine) 软件 就 是 一 套 特 殊 的 软件 ， 它 可 以 作为 操作 系统 独立 运行 ， 也 可 以 运行 于 操作 系统 之 上 。 若 是 运行 于 系统 之 上 的 虚拟 机 软件 ， 在 一 台 计算 机 (PC 或 笔记 本 电脑 
等 ) 上 安装 虚拟 机 软件 后 ， 就 可 以 模拟 若干 台 相 对 独立 的 虚拟 PC 设备 ， 并 且 可 以 在 每 台 虚 拟 的 PC 设备 上 安装 运行 操作 系统 ， 运 行 网 络 服务 ， 与 真实 的 计算 机 设备 几乎 无 任何 使 用 差别 。 


使 用 时 ， 需 要 先 在 计算 机 上 安装 虚拟 机 软件 (例如: VMware Workstation) ， 然 后 通过 安装 的 虚拟 机 软件 创建 一 个 或 多 个 虚拟 机 系统 〈 即 虚拟 的 计算 机 设备 ) ， 最 后 在 这 些 虚 拟 的 计算 机 设备 上 安装 


操作 系统 并 进行 启动 配置 ， 最 终 实现 在 一 台 计算 机 上 “同时 ”运行 多 个 虚拟 机 设备 系统 。 


另外 ， 还 可 以 将 这 些 虚 拟 的 系统 连 成 局 域 网 ， 用 来 部 署 网 站 集群 架构 等 更 深层 次 的 运 维 技术 ， 这 样 的 虚拟 环境 在 后 文 会 涉及 。 图 


在 图 1-8 中 ， 展 示 的 是 在 Windows 2007 桌 面 操作 系统 上 安装 的 


拟 机 软件 VMware， 这 里 通过 配置 VMware 


的 系统 可 以 通过 第 一 台 进行 克隆 ) 。 这 8 个 虚拟 机 同时 在 一 台 计 算 机 上 独立 运行 ， 几 乎 互 不 干扰 ， 并 且 可 同 在 一 个 局 域 网 内 ， 还 可 以 互相 通信 。 


File 


Help 


区" 屿 | 避 龟 Gf 四 加 加 局 | 回 


Library 
QA Type here to search 


昕 1 My Computer 
日 四 者 男孩 培训 -初级 期 中 考试 
香 web-01 
同 mysql_test 
日 用 老 男孩 Linux 培 训 - 课 上 学 习 


轨 centos5.8-64-20121028-mode 


岛 CentOS 64-bit-5.8-mode 


上 CentOS 64-bit-5.8-1-181-M 
晤 CentOS 64-bit-5.8-2-182-S1 
留 CentOS 64-bit-5.8-3-183-S2 


至 Shared VMs 


图 


经 过 前 面 对 虚 拟 机 软件 的 介绍 ， 


骤 web-01 关 | 加 web-02 x | BB mysql_test x | 


web-02 


1-8 为 安装 VMware Workstation 虚 拟 机 软件 后 打开 的 软件 界面 。 


拟 了 8 台 PC 设 备 ， 且 分 别 在 这 8 台 PC 上 安装 Linux 系 统 (实际 学 习 中 是 先 安装 一 台 ， 其 他 


BD Power on this virtual machine 


上 Edit virtual machine settings 


v Devices 
WMemory 


网 processors 


cD/DVD (DE) 
加 Floppy 


1 GB 
1 


一 Hard Disk (SCSD 8 GB 
Auto detect 


Auto detect 


四 Network Adap... Bridged 
鸯 Network Adap... Bridged 


USB Controller 
国 | Sound Card 
屿 Printer 


Display 


v Description 


Type hare to erter a description of 
this virtual machine. 


1-8 Windows 2007 系 统 安装 VMware Workstation8 虚 拟 软 件 窗口 


相信 读者 应 该 知道 虚拟 机 软件 到 底 是 什么 了 吧 。 下 面 ， 老 男孩 介绍 一 些 网 友 常 用 的 虚拟 机 软件 ， 如 表 1-2 所 示 。 


表 1-2 常用 的 虚拟 机 软件 及 选择 建议 


Present 
Auto detect 
Present 
Auto detect 


虚拟 机 软件 
VMware Workstation 
KVM/Xen Linux 的 虚拟 化 
Virtual PC 


VirtualBox 


1.8 本章 重点 回顾 


1) 了 解 什么 是 操作 系统 及 操作 系统 简单 原理 图 。 


2 


了 解 UNIX 的 发 展 历史 。 


ki 


了 解 市 场 上 的 常见 UNIX 系 统 版 本 。 


4 


了 解 UNIX 及 Linux 诞 生发 展 的 几 个 关键 人 物 。 

5) 重点 了 解 GNU、GPL 的 知识 。 

6) 了 解 Linux 系 统 的 特点 。 

7) 了 解 Linux 系 统 的 常见 发 行 版 本 ， 不 同 场景 选择 。 
8) 重点 了 解 CentOS 和 Red Hat 的 区 别 和 联系 。 


9 


了 解 CentOS 各 个 版 本 的 应 用 场景 及 企业 应 用 情况 。 
10) 学 会 搭建 学 习 Linux 的 环境 。 


注意 : 最 好 能 口头 表达 出 上 述 内 容 。 


1.9 ”本 章 知 识 相 关 考 试题 


1) 请 详细 描述 GNU 的 相关 知识 和 历史 事件 。 

2) 请 描述 什么 是 GPL 及 GPL 的 内 容 细节 。 

3) 企业 工作 中 如 何 选择 各 Linux 发 行 版 ? 

4) Red Hat Linux 和 CentOS Linux 有 什么 区 别 和 联系 ? 


5) 请 说 出 你 认为 Linux 受 欢迎 的 3 个 以 上 特点 。 


1.10 ”本章 参考 资料 


“ 操作 系统 介绍 资料 

http://baike.baidu.com/view/880.htm 

:自由 软件 基金 会 

http://www.gnu.org/philosophy/free-sw.html 
. GNU 与 GPL 知 识 

http:/ /www.gnu.org/home.zh-cn.html 


:GPL 协议 英文 版 


http://www.gnu.org/licenses/gpl.html 


“ 虚拟 机 及 虚拟 机 软件 的 知识 


工作 站 版 虚拟 化 软件 ， 
服务 器 级 虚拟 化 软件 ， 
MAC 平台 可 以 用 
开源 的 虚拟 机 软件 


特点 及 选择 建议 


简单 、 易 用 ， 适 合 搭建 学 习 环境 


适合 企业 虚拟 化 应 用 ， 复 杂 ， 不 适合 


http:/ /zh.wikipedia.org/wiki/%E8%99%9 AW%EGW%8BYHIFWEGYHICYHBAWEGWAFYI4WE SHIBEYS83#.E8.99.9B.E6.93.AC.E6.A9.9F.E5.99.A8.E6.AF.94.E8.BC.83 


“ 老 男 孩 针对 本 章 内 容 给 出 的 对 应 视频 精品 资料 


http://edu.51cto.com/course/course id-839.html 


学 习 环 境 


第 2 章 ”企业 级 CentOS 6.6 操 作 系 统 安装 


2.1 下 载 CentOS 系 统 ISO 镜 像 


2.1.1 下 载 CentOS 系 统 ISO 镜像 的 说 明 


要 安装 CentOS 系 统 ， 就 必须 有 CentOS 系 统 软件 安装 程序 ， 可 以 通过 浏览 器 访问 CentOS 的 官方 站 点 http://www.centos.org， 然 后 在 导航 栏 找到 “Downloads 一 Mirrors” 链 接 ， 单 击 进入 后 即 可 下 
载 ， 或 者 打开 如 下 的 地 址 直接 选择 国内 的 高 速 镜像 站 点 进行 下 载 : 


:64 位 : http://mirrors.aliyun.com/centos/6.6/isos/x86_64/ 


32 位 : http://mirrors.aliyun.com/centos/6.6/isos/i386/ 


@ia: 如 果 CentOS 6.6 的 下 载 地 址 过 期 无 法 下 载 ， 可 以 直接 下 载 CentOS 6.7 或 更 新 的 6 系列 其 他 版 本 ， 方 法 是 输入 http://mirrors.aliyun.com/centos/ 进 入 地 址 后 进行 选择 。 


目前 ,国内 比较 稳定 的 开源 镜像 软件 下 载 地 址 为 aliyun 镜 像 地 址 (http://mirrors.aliyun.com/) 和 网 易 镜像 地 址 (http://mirrors.163.com/) ， 推 荐 国内 用 户 使 用 这 两 个 站 点 提供 的 镜像 ， 直 接 打 : 
CentOS 的 官方 站 点 会 比较 慢 ， 甚 至 会 打 不 开 。 


下 载 完 成 后 ， 得 到 的 是 CentOS 操 作 系 统 的 ISO 系 统 软 件 安 装 程序 ， 该 程序 分 为 32 位 和 64 位 两 种 版 本 ， 文 件 主 要 为 DVD 格 式 (早期 还 有 CD 格式 ) ， 扩 展 名 为 .so， 软 件 程序 文件 名 见 表 2-1。 


表 2-1 软件 程序 文件 格式 


文件 格式 i386 ( 32 位 系统 ) x86_64 ( 64 位 系统 ) 


CentOS-6.6-1386-bln-DVD1.1so CentOS-6.6-x86 64-bin-DVD1.1s0 


DVD 格式 、 | 
CentOS-6.6-1386-bin-DVD?2.iso CentOS-6.6-x86_64-bin-DVD?2.1iso 


所 示 : 目前 绝 大 多 数 企业 生产 环境 ， 用 的 都 是 64 位 DVD 格式 的 系统 镜像 。 


第 2 章 ”企业 级 CentOS 6.6 操 作 系 统 安装 


2.1 下 载 CentOS 系 统 ISO 镜 像 


2.1.1 下 载 CentOS 系 统 |SO 镜 像 的 说 明 


要 安装 CentOS 系 统 ， 就 必须 有 CentOS 系 统 软件 安装 程序 ， 可 以 通过 浏览 器 访问 CentOS 的 官方 站 点 http://www.centos.org， 然 后 在 导航 栏 找 到 “Downloads 一 Mirrors” 链 接 ， 单 击 进入 后 即 可 下 
载 ， 或 者 打开 如 下 的 地 址 直接 选择 国内 的 高 速 镜像 站 点 进行 下 载 : 


”64 位: http://mirrors.aliyun.com/centos/6.6/isos/x86_64/ 


* 32 位 : http://mirrors.aliyun.com/centos/6.6/isos/i386/ 


isa: 如 果 CentOS 6.6 的 下 载 地 址 过 期 无 法 下 载 ， 可 以 直接 下 载 CentOS 6.7 或 更 新 的 6 系列 其 他 版 本 ， 方 法 是 输入 http://mirrors.aliyun.com/centos/ 进 入 地 址 后 进行 选择 。 


目前 ,国内 比较 稳定 的 开源 镜像 软件 下 载 地 址 为 aliyun 镜 像 地 址 (http://mirrors.aliyun.com/) 和 网 易 镜像 地 址 (http://mirrors.163.com/) ， 推 荐 国内 用 户 使 用 这 两 个 站 点 提供 的 镜像 ， 直 接 打 开 
CentOS 的 官方 站 点 会 比较 慢 ， 甚 至 会 打 不 开 。 


下 载 完成 后 ， 得 到 的 是 CentOS 操 作 系统 的 ISO 系统 软件 安装 程序 ， 该 程序 分 为 32 位 和 64 位 两 种 版 本 ， 文 件 主要 为 DVD 格式 (早期 还 有 CD 格式 ) ， 扩 展 名 为 .iso， 软 件 程序 文件 名 见 表 2-1。 


表 2-1 软件 程序 文件 格式 


文件 格式 i386 ( 32 位 系统 ) x86_64 ( 64 位 系统 ) 


CentOS-6.6-1386-bin-DVD!1.1so CentOS-6.6-x86 64-bin-DVD1.1s0 


DVD 格式 、 3 ; | 
CentOS-6.6-1386-bin-DVD?2.iso CentOS-6.6-xX86 64-blin-DVD2.1so 


@@R: 目前 绝 大 多 数 企 业 生产 环境 ， 用 的 都 是 64 位 DVD 格式 的 系统 镜像 。 


2.2 ”CentOS 6.6 操 作 系统 安装 准备 


2.2.1 单 台 物理 服务 器 安装 系统 准备 


对 于 单 台 物 理 服务 器 ， 在 正式 安装 操作 系统 之 前 ， 需 要 先 确认 以 下 两 个 问题 ， 以 便 能 够 顺利 安装 系统 。 


“ 服务 器 光驱 和 系统 安装 光盘 (需要 把 [SO 文件 刻 成 DVD 光 盘 ) 都 可 用 。 


“ 服务 器 的 各 个 硬件 都 能 被 CentOS 6 系统 支持 (当前 市 场 上 大 多 数 品 牌 的 服务 器 都 已 支持 CentOS 6) 。 


确认 完毕 ， 就 可 以 使 用 DVD 光 盘 安 装 系 统 了 ， 若 考虑 采用 U 盘 安装 的 方式 ， 请 读者 自行 学 习 。 


加 载 完 CentOS 6.6 的 第 一 个 ISO 镜像 文件 后 ， 开 启 /重启 计算 机 或 虚拟 机 ， 此 时 ， 系 统 会 进行 自 检 ， 自 检 完 毕 就 会 出 现 安装 系统 时 的 引导 界面 ， 如 图 2-2 所 示 。 


Helcone to Cent0s GB.6t 


Wstall or upgrade an existlng svstenm 
Install systew with basie yiden driver 
Rescue installed systen 

Boot from local driuve 

Hemory test 


Press [Liab] to edit options 


futomatic boot 了 S2 seconds,... 


CentOQS6 


Community ENTerpree OQperating System 


图 2-2 ”CentOS 6.6 开 机 安装 系统 引导 界面 


@ 提 示 : 如 果 是 在 虚拟 机 上 安装 系统 ， 需 要 进入 虚拟 机 界面 操作 ， 如 果 需要 退出 虚拟 机 界面, 


在 图 2-2 所 示 的 引导 界面 中 ， 可 以 看 到 共有 5 种 引导 方式 ， 这 5 种 方式 对 应 的 中 英文 含义 见 表 2-2。 


表 2-2 CentOS 6.6 的 5 种 引导 方式 


序号 CentOS 6.6 的 引导 方式 解释 说 明 
1 Install or upgrade an existing system 安装 新 系统 或 升级 已 经 存在 的 系统 
2 Install system with basic video driver 安装 帝 有 基本 视频 驱动 程序 的 系统 
3 Rescue installed system 修复 已 经 安装 的 系统 (故障 修复 ) 


4 Boot 位 om local drive 从 本 地 驱动 器 引导 系统 
A 


其 中 ， 第 一 种 (新 服务 器 安装 或 已 有 服务 器 升级 ) 和 第 三 种 (系统 故障 恢复 ) 引导 方式 比较 有 用 ， 其 他 几 个 选项 用 途 不 是 很 大 ， 可 以 忽略 。 


形 安装 界面 。 呈 ， 为 什么 不 是 文本 方式 呢 ? 这 是 因为 CentOS 6 无 法 用 文本 模式 完全 定制 化 安 


网 


此 处 选择 第 一 项 “Install or upgrade an existing system” ， 即 默认 选项 ， 然 后 按 Enter ( 回 车 ) 键 进入 | 
装 ， 即 在 文本 模式 下 无 法 定制 磁盘 分 区 ， 这 是 CentOS 6 与 之 前 各 版 本 的 不 同 之 处 。 因 此 ， 在 安装 CentOS 6 的 系统 时 ， 通 常 都 选择 图 形 安 装 。 


确定 引导 方式 后 ， 进 入 如 图 2-3 所 示 的 界面 ， 如 果 需 要 检查 光盘 介质 ， 选 择 “OK”， 和 否则 按 Tab 键 选择 “Skip” ， 这 里 直接 按 Tab 键 选择 “Skip” ， 然 后 按 Enter 键 继续 。 


Ee 1 Ome to 心头 for x 6 


Dlase Found 


To begin testing the media before 
installation press DK. 


Chouose Skip to skip the media test 
nnd start thce installation. 


所 


TnbsAdAlt—-Taby beturen clements apncey aE]Ects | El next screen 


图 2-3 ”检查 安装 光盘 介质 医 


忽略 光盘 介质 检查 后 ， 进 入 如 图 2-4 所 示 的 界面 。 要 特别 注意 ， 如 果 采 用 的 是 VMware Workstation 创 建 的 虚拟 机 ， 其 安装 界面 有 可 能 会 显示 不 完整 ， 例 如 : 可 能 看 不 见 界 面 里 的 “Next” 按 键 。 此 
通过 按 VMware 窗 口 的 最 大 化 按钮 (如 图 2-5 所 示 ) ， 使 界面 最 大 化 来 解决 。 然 后 单 击 “Next” 继续。 


时 ， 


加 


CentOS6 


Community ENTerprise Operating System 


| 如 果 不 调 整 VMware 最 大 化 显示 ， 则 可 能 看 不 到 这 个 Next 键 


NS 


2-4 调整 VMware 显示 最 大 化 后 的 安装 界面 


图 2-5 ”调整 VMware 最 大 化 显示 安装 界面 


@ 折 示 : Ctrl+Alt 快 捷 键 用 于 从 虚拟 机 内 向 虚拟 机 外 切换 ， 系 统 也 会 提示 这 个 快捷 键 的 ， 如 果 已 经 进入 窗口 ， 需 要 按 VMware 窗 口 的 最 大 化 按钮 就 要 使 用 Ctrl+Alt 快 捷 键 退出 来 再 单 击 。 


4 .安装 过 程 语言 选择 


进入 图 2-6 所 示 的 语言 选择 界面 后 ， 可 对 安装 过 程 语言 进行 选择 ， 这 里 保留 默认 选项 “English”， 单 击 “Next” 继 续 。 


What language would you like to use during the 
installation process? 


Bulgarian (EbnrapckW) 

Catalan (Catala) 
Chinese(Simplified) (志文 【简体 1 ) 
Chinese(Traditional) [中 文 [ 正 感 ) ) 
Croatian (Hrvatski) 

Czech (Cestina) 

Danish [Danskj 

Dutch (Nederlands) 

English (English) 

Estonian (eesti keel) 

Finnish (suomi] 

French (Francais) 

German (Deutsch] 

Greek (EAANvIKA) 

Gujarati (alsatc 人 ) 

Hebrsw [nnay) 

Hindi (人 = 和 


图 2-6 ”安装 过 程 语言 选择 界面 图 


@ 提 示 : 此 处 仅仅 是 安装 过 程 中 的 语言 中 示 ， 不 建议 选中 文 ， 要 学 会 多 亲近 英文 ， 至 少 不 要 逃避 ， 只 有 这 样 才能 学 好 LinuxiE 维 . 


5. 选 择 键盘 布局 


进入 如 图 2-7 所 示 的 选择 键盘 布局 界面 后 ， 选 择 保留 默认 选项 “U.S.English”， 单 击 “Next” 继 续 。 


6 .选择 合适 的 物理 设备 


进入 如 图 2-8 所 示 的 选择 合适 的 物理 设备 界面 后 ， 会 看 到 两 个 选项 。 如 果 是 普通 的 服务 器 ， 默 认 选 择 第 一 个 “Basic storage Devices” 即 可 ， 第 二 个 是 用 于 特殊 存储 设备 的 ， 例 如 SANs (1SCSI) 等 。 
选项 的 含义 ， 英 文 已 经 解释 得 非常 详细 了 ， 不 再 元 述 。 这 里 保留 默认 选项 “Basic Storage Devices”， 单 击 “Next” 继 续 。 


Sembian 

serbian (latin) 
Slovak (qwerty) 
Slovenian 
Spanish 
Swedish 


Swiss French 

Swiss French (latini) 
Swiss German 

Swiss German (latin1) 
Turkish 

U.S, English 

U.S, Intemational 
Ukrainian 

United Kingdom 


图 2-7 选择 键盘 布局 图 


Basic Storage Devices 
图 Installs or upgrades to typical types of storage devices. 和 you're not Sure which option is right for you 
this is probably it. 


Specialized Storage Devices 
2 Installs or upgrades to enterprise devices such as Storage Area Networks (SANs) This option will allow 


7 上 disks and to ' DeyIce De s QUIg ig no 


图 2-8 选择 合适 的 物理 设备 
7 初始 化 硬盘 提示 


进入 如 图 2-9 所 示 的 初始 化 硬盘 警告 界面 后 ， 会 看 到 相应 的 警告 信息 ， 单 击 “Yes，discard any data” 继 续 。 


@ 提 示 : 这 一 步 会 格式 化 服务 器 的 硬盘 ， 即 删除 硬盘 内 的 所 有 数据 ， 要 确认 物理 硬盘 内 的 数据 是 否 有 用 。 如 果 是 虚拟 机 就 是 格式 化 虚拟 磁盘 (不 会 丢失 虚拟 机 所 在 的 宿主 机 的 数据 ) 。 


8. 初 始 化 主机 名 及 配置 网 络 


现在 ， 进 入 如 图 2-10 所 示 的 “初始 化 主机 名 及 配置 网 络 ” 界 面 。 


storage Device Warning 


人 The storage device below may contalin data. 


= VMware, VMware Virbual 5 
= 8192.0 MB pd-0000:00:10.0-scsi-0:0:0:0 


We could not detect partitions or flesystems cn this device. 
This could be because the device is blank, unpartitioned, 
or virtual. If noet; there may be data on the devlice that can 
nat be recovered if you use it in this installation, Whe can 
remowe the device from this installation to protect the data. 


Bre vou suUre this device doss net contain valuable datar? 


ww Bpphy my cholce to all devices with undetected partitions or filesystems 


| YEs, discard any data | No, keep any data | 


图 2-9 ”初始 化 硬盘 警告 


有 "ease name this computer. 
ei 


| i 一 一- 
= 


= We 


ostname: | los|lnlali eT w=] [ll 


Conhgure Network | 


2-10 初始 化 主机 名 及 配置 网 络 


(1) 为 系统 设置 主机 名 


在 图 2-10 中 ,左上 角 的 “Hostname” 表示 配置 主机 名 。 在 右边 对 应 的 选 框 里 ， 会 有 默认 的 localhost.localdomain 主 机 名 ， 删 除 之 ， 设 置 自己 的 主机 名 ， 这 里 用 www 作 为 主机 名 。 


人 @@ 证 示 : 不 建议 保留 默认 Hostname 主 机 名 ， 设置 一 个 规范 的 主机 名 ， 会 显得 更 专业 ， 这 是 运 维 的 原则 ， 而 且 也 可 避免 对 后 面 业务 服务 的 安装 配置 产生 影响 。 自 定义 主机 名 时 可 以 使 用 普通 的 字符 串 
(例如 www) ， 或 者 完整 的 FQDN 名 (例如 www.etiantian.org) 。 最 好 由 简单 字母 或 字母 带 数字 字符 (以 字母 开头 ， 不 要 只 用 数字 ， 可 带 下 划 线 等 ) 组 成 ， 不 建议 用 特殊 字符 。 


(2) 配置 网 卡 及 连接 网 络 (可 选 ) 


单 击 图 2-10 左 下 角 的 “Configure Network” 按 钮 ， 会 弹出 一 个 网 络 连 接 (Network connections) 的 窗口 ， 在 弹出 的 窗口 中 选择 “System eth0”， 然 后 单 击 右边 的 “Edit” 按 钮 ， 此 时 会 弹出 一 
个 “Editing System eth0” 的 窗口 ， 在 该 窗口 勾 选 “Connect automatically” 复 选 框 ， 设 置 eth0 网 卡 自动 连接 ， 并 选择 “IPv4 Settings” ， 然 后 根据 自己 的 网 络 情况 配置 对 应 的 IP 地 址 、 子 网 掩 码 、 网 关 
和 DNS。 配 置 好 后 ， 如 果 希 望 保存 ， 可 以 单 击 “Apply” 使 配置 生效 ， 完 整 的 配置 过 程 如 图 2-11 所 示 。 


@ 提 示 : 介绍 这 一 步 又 只 是 为 了 让 读者 先 对 网 卡 及 网 络 配 置 方法 有 一 个 大 概 了 解 ， 这 里 先 忽略 ， 保 留 到 系统 安装 后 再 来 配置 


Editing System eth0 


本 or ee 
同色 | hosmameidentifies tt 


me 


Network Connections 


System etho 


9. 系 统 时 钟 及 时 区 设置 


在 如 图 


2-12 所 示 的 “系统 时 钟 及 时 


回 |Fonnect automatically 


Available to all users 


Never 


DNS servers: 202 106.0 20 


Search domains: 


DHCP client ID: | | 


Requirs IPv4 addressing for this connection to complete 


[_Cance! ][ Appy | 


2-11 配置 网 卡 及 连接 网 络 (可 选 ) 


区 设置 ”界面 中 ， 选 择 “Asia/Shanghai”， 然 后 取消 “System clock uses UTC” 前 的 对 勾 ， 最 后 选择 “Next” 继 续 。 


IN Your IME zane: 


= EaTest ll 


2-12 系统 时 钟 及 时 区 设置 
Oe 区 章 区 日 期 /时 间 可 千 间 意 的 是 
复 选 框 “Sys a] 夏令 不 然 可 又 造 间 与 了 是 可 需 
事情 ， 很 多 


击 右 下 角 “Next 
密码 ， 否 则 经 常 忘记 密码 也 是 一 件 不 舒服 的 对 


少 
了 


在 如 图 2-13 所 示 的 界面 中 ， 输 入 两 次 root 用 户 的 口令 ， 
a 的 密码 ， 但 不 推荐 ， 如 果 是 学 习 环境 ， 还 是 建议 使 用 简单 密码 ， 


Use Anyway” 强 行 设置 简单 | 


会 出 现 如 轿 


提示 。 可 以 用 “ 


2-14 所 示 的 


如 果 密 码 过 于 简 生 
新 手 都 会 遇 到 这 个 问题 。 


oot Password 


confirm: 
图 2-13 root 用 户口 令 设 置 


Weak Password 


You have provided a weak password: it 
Is too simplistic/systematic 


Use Anyway | 


图 2-14 ”密码 过 于 简单 的 提示 


2.4 ”系统 安装 后 的 基本 配置 


2.4.1 ”重启 系统 过 程 中 的 引导 过 程 介绍 


系统 安装 结束 后 ， 取 出 安装 时 使 用 的 DVD 系统 盘 (如 果 是 虚拟 机 镜像 文件 ， 此 时 无 法 取出 ) ， 按 “Reboot” 键 重新 启动 系统 。 首 先进 入 如 图 2-35 所 示 的 CentOS 开 机 引导 界面 。 


图 2-35 ”CentOS 开 机 引导 界面 


此 时 如 果 按 下 键盘 的 Esc 键 ， 可 以 像 CentOS 5 一 样 查看 系统 引导 过 程 的 细节 ， 如 图 2-36 所 示 。 


Welcome to Cent0s 

Starting udev: piix4 smbus 86886888:868:87.3: Host SMBus controller not enabled! 
[ Dk ] 

Setting hostname Www: E03 

Setting up Logical Volume Management : No volume groups found 
[ Ok ] 

Checking filesystems 

dev/sda3: clean, 54120/446168 files, 488831/17?83552 blocks 

dev/sdal: clean, 38/51288 files, 38161/2848809 blocks 


Remounting root filesystem in read-write mode : 


Mounting local filesystems.: 
Enabling local filesystem duotas : 
Enabling /etc/fstab swaps: 

Entering non-interactive startup 
Calling the system activity data collector (sadc)... 
ipbtables: fpplying firewall rules: 
iptables: fApplying firewall rules: 
Bringing up loopback interface: 
Starting auditd : 

Starting system logger: 

Starting irgbalance: 

Starting kdump: 


图 2-36 系统 引导 过 程 细节 界面 


图 2-37 所 示 。 


系统 引导 及 程序 服务 加 载 完毕 后 ,会 出 现 登 录 界面 ， 妇 


= 


Cent0s release .6 (Final)} 
KErmel es 4 4 


WU logimn: 


图 2-37 系统 登录 界面 


在 图 2-37 中 显示 的 www 为 主机 名 ，login 为 登录 提示 。 


1) 安装 Linux 系 统 前 ， 要 事先 规划 好 如 何 分 区 ， 做 好 安装 包 选 择 。 

2) Linux 系 统 的 分 区 知识 及 企业 环境 不 同业 务 场景 及 服务 器 角色 对 应 的 分 区 方案 。 

3) 用 练习 机 安装 时 可 设置 /、/boot、swap 三 个 分 区 ， 这 也 是 工作 中 常用 的 分 区 方法 。 如 果 是 在 工作 环境 中 ， 对 于 数据 库 及 存储 的 服务 器 还 可 以 再 分 出 一 个 /data 分 区 。 
门户 网 站 一 般 的 分 区 方案 : 假设 服务 器 内 存 为 16GB， 硬 盘 为 1TB。 

/boot 分 区 : 100~200MB 

swab 分 区 : 物理 内 存 的 1.5~2 倍 ， 如 果 内 存 大 于 16GB， 可 以 配置 为 8~16GB。 


/分 区 : 80~200GB 


剩余 空间 不 分 ， 保 留 给 使 用 的 人 根据 业务 中 的 具体 问题 进行 划分 。 

4) 若 要 调整 开机 启动 设备 的 顺序 ， 必 须要 重新 启动 并 进入 BIOS 进 行 调整 。 

5) 安装 CentOS 6.6 时 使 用 的 是 图 形 界面 ， 而 不 是 文本 界面 。 

6) 安装 过 程 中 进入 分 区 后 ， 请 以 “ 自 定义 的 分 区 结构 ”来 处 理 自己 规划 的 分 区 方式 。 

7) 一 般 要 求 swap 应 该 是 1.5~2 倍 的 物理 内 存 大 小 。 即 使 没有 swap， 依 旧 能 够 安装 和 运行 Linux 操 作 系 统 。 
8) CentOS 5.x-6.x 的 引导 程序 为 grub， 最 好 选择 安装 在 MBR 中 。 

9) 安装 软件 包 组 的 选择 是 关键 ， 不 能 太 多 也 不 能 太 少 。 


10) 若 连 不 上 Internet， 可 以 尝试 查看 网 卡 是 否 启动 ， 上 网 模式 是 否 正确 ， 以 及 IP、 网 关 、DNS 等 的 设置 是 否 正确 。 


2.6 ”本 章 知识 相关 考试 题 


1) 32 位 和 64 位 系统 的 区 别 是 什么 ? 

2) 请 描述 Linux 分 区 的 知识 (包括 设备 名 、 主 分 区 、 扩 展 分 区 、 文 件 系 统 类 型 等 ) 。 
3) 什么 是 挂 载 点 ， 挂 载 点 的 作用 是 什么 ? 

4) 企业 场景 下 如 何 针对 不 同 的 业务 服务 器 规划 分 区 方案 ? 

5) 企业 场景 下 Linux 系 统 安 装 如 何 尽 可 能 地 最 小 化 选 包 ? 


6) 企业 场景 下 若 线 上 运行 的 系统 缺少 部 分 包 组 ， 如 何 补救 ? 


第 3 章 ”CentOS 6.6 连 接管 理 及 优化 


3.1 “远程 连接 Linux 系 统管 理 


3.1.1 ”为 什么 要 远程 连接 Linux 系 统 


很 多 机 构 的 培训 教学 ， 都 是 直接 在 虚拟 机 界面 上 讲解 知识 ， 这 就 导致 非常 多 的 学 生 只 熟悉 如 何在 虚拟 机 界面 上 操作 ， 对 实际 的 工作 场景 并 不 熟悉 。 事 实 上 ， 在 实际 的 工作 场景 中 ， 虚 拟 机 界面 或 物理 服 
务 器 本 地 的 窗口 都 是 很 少 能 够 接触 到 的 ， 因 为 服务 器 装 完 系统 后 ， 都 要 拉 到 1DC 机 房 托 管 ， 如 果 购买 了 云 主 机 ， 更 碰 不 到 服务 器 本 地 显示 器 了 ， 此 时 只 能 通过 远程 连接 的 方式 管理 Linux 系 统 。 因 此 ， 在 装 好 
Linux 系 统 后 ， 学 习 Linux 运 维 的 第 一 步 应 该 是 配置 好 客户 端 软件 远程 连接 Linux 系 统 进 行 管理 。 


另外 ， 需 要 指出 的 是 ， 学 习 Linux 的 最 佳 方式 就 是 利用 虚拟 机 来 学 习 ， 而 不 是 安装 双 系统 或 直接 抛弃 Windows 系 统 改 装 Linux 系 统 。 通 过 模拟 生产 环境 来 学 习 是 非常 必要 的 ， 而 虚拟 机 环境 正 是 上 面 几 种 
方式 中 最 接近 企业 真实 运 维 工作 环境 的 ， 当 然 ， 如 果 能 有 一 个 真实 的 物理 机 放 在 局 域 网 或 机 房 里 就 更 好 了 。 


第 3 章 ”CentOS 6.6 连 接管 理 及 优化 


3.1 “远程 连接 Linux 系 统管 理 


3.1.1 ”为 什么 要 远程 连接 Linux 系 统 


很 多 机 构 的 培训 教学 ， 都 是 直接 在 虚拟 机 界面 上 讲解 知识 ， 这 就 导致 非常 多 的 学 生 只 熟悉 如 何在 虚拟 机 界面 上 操作 ， 对 实际 的 工作 场景 并 不 熟悉 。 事 实 上 ， 在 实际 的 工作 场景 中 ， 虚 拟 机 界面 或 物理 服 
务 器 本 地 的 窗口 都 是 很 少 能 够 接触 到 的 ， 因 为 服务 器 装 完 系统 后 ， 都 要 拉 到 IDC 机 房 托管 ， 如 果 购买 了 云 主机 ， 更 碰 不 到 服务 器 本 地 显示 器 了 ， 此 时 只 能 通过 远程 连接 的 方式 管理 Linux 系 统 。 因 此 ， 在 装 好 
Linux 系 统 后， 学 习 Linux 运 维 的 第 一 步 应 该 是 配置 好 客户 端 软件 远程 连接 Linux 系 统 进行 管理 。 


另外 ， 需 要 指出 的 是 ， 学 习 Linux 的 最 佳 方式 就 是 利用 虚拟 机 来 学 习 ， 而 不 是 安装 双 系统 或 直接 抛弃 Windows 系 统 改装 Linux 系 统 。 通 过 模拟 生产 环境 来 学 习 是 非常 必要 的 ， 而 虚拟 机 环境 正 是 上 面 几 种 
方式 中 最 接近 企业 真实 运 维 工作 环境 的 ， 当 然 ， 如 果 能 有 一 个 真实 的 物理 机 放 在 局 域 网 或 机 房 里 就 更 好 了 。 


3.2 SSH 客 户 端 常用 工具 SecureCRT 


3.2.1 SecureCRT 工 具 介绍 


SecureCRT 是 一 款 支持 SSH (SSH1 和 SSH2) 协议 的 终端 仿真 软件 ， 常 被 用 来 运行 于 Windows 下 远程 登录 UNIX 或 Linux 服 务 器 主机 。 


SecureCRT 软 件 功能 强大 ， 不 仅仅 支持 SSH 协 议 ， 同 时 还 支持 Telnet、RLogin、Serial 和 TAPI 等 协议 ， 它 有 非常 多 的 功能 ， 这 里 就 不 一 一 介绍 了 ， 常 用 功能 可 看 下 文 实践 。 


与 SecureCRT 类 似 功 能 的 SSH 软 件 还 有 Xshell、Putty 等 。SecureCRT、Xshell、Putty 等 都 仅仅 是 客户 端 软 件 ， 一 般 被 用 于 Windows 客 户 端 的 计算 机 ， 因 此 ， 无 论 选 择 哪 款 客户 端 SSH 工 具 ， 对 于 学 习 
来 说 都 是 可 以 的 ， 读 者 可 以 根据 自身 习惯 进行 选择 ， 这 里 老 男 孩 以 比较 大 众 化 的 SecureCRT 为 例 为 读者 阐述 SecureCRT 的 常用 优秀 功能 。 


3.3 ”Linux 系 统 应 用 管理 


管理 Linux 系 统 之 前 ， 先 来 查看 一 下 当前 Linux 系 统 的 版 本 、 内 核 等 信息 。 命 令 如 下 : 


[root@www ~]# cat /etc/redhat-release 


CentOS release 6.6 (Final) 一 这 是 系统 版 本 信息 
[root@www ~]# uname -r 

2.6.32-504.e16.x86_64 一 这 是 内 核 Kernel 的 版 本 号 
[root@www ~]# uname -m 

x86_64 一 这 表示 为 64 位 系统 


3.4 安装 Linux 系 统 后 调 优 及 安全 设置 


3.4.1 关闭 SELinux 功 能 


SELinux (Security-Enhanced Linux) 是 美国 国家 安全 局 (NSA) 对 于 强制 访问 控制 的 实现 ， 这 个 功能 让 系统 管理 员 又 爱 又 恨 ， 这 里 我 们 还 是 把 它 给 关闭 了 吧 ， 至 于 安全 问题 ， 后 面 通过 其 他 手段 来 解 
决 ， 这 也 是 大 多 数 生产 环境 的 做 法 ， 如 果 非 要 开启 也 是 可 以 的 。 关 闭 方式 如 下 。 


1) 修改 配置 文件 ， 使 关闭 SELinux 永 久生 效 : 


[root@@www ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 
<== 修 改 配置 文件 可 使 配置 永久 生效 ， 但 必须 要 重启 系统 ， 此 步 是 sed 快 速 修改 方法 ， 也 可 以 通过 Vi 编辑 修改 此 文件 。 
[root@Q@www ~]# grep SELINUX=disabled /etc/selinux/config 

SELINUX=disabled < 一 检查 替换 结果 为 disabled 就 表示 编辑 成 功 了 


2) 临时 关闭 SELinux， 可 在 命令 行 执行 如 下 命令 : 


[root@www ~]# setenforce 
usage: ”setenforce [ Enforcing | Permissive | 1 | 0 ] 一 数字 0 表示 Permissive， 即 给 出 警告 提示 ， 但 不 会 阻止 操作 ， 相 当 于 disabled。 数 字 1 表示 Enforcing， 即 表示 SELinux 为 开启 状态 。 


[root@@www ~]# setenforce 0 <== 临 时 将 SELinux 调 成 Permissive 状 态 。 
[root@Q@www ~]# getenforce <== 查 看 SELinux 当 前 状态 

Permissive 

命令 说 明 如 下 。 


' setenforce: 用 于 命令 行 管理 SELinux 的 级 别 ， 后 面 的 数字 表示 设置 对 应 的 级 别 。 


“ getenforce: 查看 SELinux 当 前 的 级 别 状态 。 


is: 修改 配置 SELinux 后 ， 要 想 使 其 生效 ， 必 须要 重启 系统 。 因 此 ， 可 配合 使 用 setenforce 0 这 个 临时 使 其 关闭 的 命令 这样 在 重启 前 后 都 可 以 使 SELinux 关 闭 生效 ， 也 就 是 说 无 须 立 刻 重启 服务 器 
了 ， 在 生产 场景 下 Linux 机 器 是 不 能 随意 重启 的 。 


3.5 ”Linux 基 础 优化 与 安全 重点 小 结 


1) 不 用 root 登 录 管理 系统 ， 而 以 普通 用 户 身份 登录 ， 通 过 sudo 授 权 管 理 。 


2) 更 改 上 默认 的 远程 连接 SSH 服 务 器 端口 ， 禁 止 root 用 户 远程 连接 ， 甚 至 更 改 SSH 服 务 只 监听 内 网 IP。 


3) 定时 自动 更 新 服务 器 的 时 间 ， 使 其 与 互联 网 时 间 同 步 。 


4) 配置 yum 更 新 源 ， 从 国内 更 新 源 下 载 安装 软件 包 。 


5) 关闭 SELinux 及 iptables (在 工作 场景 中 ， 如 果 有 外 部 IP 一 般 要 打开 iptables， 高 并 发 、 高 流量 的 服务 器 可 能 无 法 开启 ) 。 


6) 调整 文件 描述 符 的 数量 ， 进 程 及 文件 的 打开 都 会 消耗 文件 描述 符 数量 。 


7) 定时 自动 清理 邮件 临时 目录 垃圾 文件 ， 防 止 磁盘 的 inodes 数 被 小 文件 占 满 (注意 CentOS 6 和 CentOS 5 要 清除 的 目录 不 同 ) 。 


8) 精简 并 保留 必要 的 开机 自 启动 服务 (如 crond、sshd、network、rsyslog、sysstat) 。 
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9) Linux 内 核 参数 优化 /etc/sysctl.conf， 执 行 sysctl-p 生 效 。 


10) 更 改 系统 字符 集 为 “zh_CN.UTF-8”， 使 其 支持 中 文 ， 防 止 出 现 乱 码 问题 。 


11) 锁定 关键 系统 文件 ， 如 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、 


/etcinittab， 处 理 以 上 内 容 后 把 chattr、lsattr 改 名 为 oldboy 并 转移 ， 这 样 就 安全 多 了 。 


12) 清空 /etc/issue、/etc/issue.net， 去 除 系统 及 内 核 版 本 登录 前 的 屏幕 显示 。 


13) 清除 多 余 的 系统 虚拟 用 户 账号 。 


14) 为 grub 引 导 菜单 加 密码 。 


@ia: 上 述 仅 为 安装 Linux 后 的 一 些 基础 优化 ， 更 多 针对 不 同业 务 服务 器 的 优化 思路 见 http://oldboy.blog.51cto.com/2561410/988726。 “Linux 基 础 优化 ( 老 男 孩 学 生活 学 活 
用 ) ” 见 http:Wlspgyy.blog.51cto.com/5264172/1308977。 


3.6 ”有 关 VMware 虚 拟 机 的 使 用 问题 


man 


在 VMware 虚拟 环境 ， 做 完 上 述 操作 后 的 Linux 主 机 可 以 做 一 个 快照 ， 然 后 当 作 模 板 机 永久 保留 ， 以 后 再 需要 学 习 时 ， 可 以 克隆 一 个 新 的 机 器 使 用 ， 系 统 安装 和 优化 是 较为 简单 的 操作 ， 没 必要 多 次 重复 
操作 。 不 过 ， 在 克隆 虚拟 机 及 使 用 的 过 程 中 也 会 遇 到 一 些 问题 。 比 如 ， 在 老 男 孩 的 教学 过 程 中 ， 发 现 有 学 生 通 过 VMware 8 的 完全 克隆 功能 快速 创建 了 一 台 版 本 为 CentOS 6.6 的 Linux 虚 拟 机 ， 但 遇 到 了 如 
下 问题 无 法 解决 。 


创建 后 的 症状 : 启动 之 后 使 用 ifconfig， 发 现 无 IP 地 址 ， 只 有 回环 地 址 为 127.0.0.1。 因 此 考虑 是 否 因 为 MAC/IP 地 址 及 主机 名 都 与 克隆 前 的 源 主机 相同 ( 源 主 机 采用 手动 方式 配置 的 IP) 而 产生 此 问题 。 


修改 IP 地 址 和 MAC 地 址 后 ,执行 下 面 的 重启 等 命令 后 依然 无 济 于 事 : 


/etc/init.d/network restart 
ifup eth0 


最 终 的 解决 办 法 如 下 。 


1) 编辑 网 卡 对 应 的 eth0 的 配置 文件 : vi/etc/sysconfig/network-scripts/ifcfg-eth0， 删 除 配置 文件 中 HWADDR 地 址 及 UUID 所 在 的 行 ， 如 下 : 


HWADDR=00: 0c: 29: 08: 28: 9f 
UUID=cee39dbb-6a10-4425-9daf-768b6e79a9c9 


a: 当然 也 可 以 根据 实际 的 HWADDR 和 UUID 修 改 ， 而 不 删除 。 见 /etc/udev/rules.d/70-persistent-net.rules 文 件 内 容 帮 助 。 


eth0 网 卡 文件 修改 后 ， 代 码 如 下 : 


[root@oldboy ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 
DEVICE=eth0 
TYPE=Ethernet 
ONBOOT=yes 

NM CONTROLLED=yes 
BOOTPROTO=none 
IPADDR=10.0.0.7 
NETMASK=255.255.255.0 
DNS2=8.8.8.8 
GATEWAY=10.0.0.254 
DNS1=10.0.0.254 
IPV6INIT=no 
USERCTL=no 


2) 清空 如 下 文件 : 


> /etc/udev/rules.d/70-persistent-net.rules。 提 示 : 机 器 名 可 以 不 改 


3) 重启 系统 ， 执 行 reboot 或 在 VM 外 重启 Linux。 


原因 猜测 : 这 是 VM 克 隆 为 了 防止 源 机 器 和 克隆 机 器 启动 网 络 配置 地 址 冲突 而 做 的 保护 策略 ， 或 者 开发 者 自己 也 没有 考虑 到 这 个 问题 。 


3.7 ”本 章 重点 回顾 


远程 连接 Linux 的 原理 及 相关 软件 介绍 ， 重 点 掌握 SecureCRT 或 Xshell。 


DL 


SecureCRT 的 高 效 操作 配置 。 


四 


Linux 系 统 的 大 量 基 本 优化 技巧 。 


4) VMware 克隆 虚拟 机 无 法 联网 的 故障 排查 解决 。 


3.8 ”本 章 知识 相关 考试 题 


1) 企业 场景 面试 题 : Linux 系 统 如 何 优化 ? 
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企业 场景 面试 题 : SSH 服 务 连 不 上 ， 如 何 排查 ? 


第 4 章 Web 服务 基础 


4.1 HTTP 服 务 的 重要 基础 


4.1.1 用 户 访问 网 站 基本 流程 


我 们 每 天 都 会 使 用 Web 客 户 端 上 网 浏览 网 页 。 最 常见 的 Web 客 户 端 就 是 Web 浏 览 器 ， 如 通用 的 微软 Internet Explorer (IE) ， 以 及 技术 人 员 偏爱 的 火狐 浏览 器 、 谷 歌 浏 览 器 等 。 当 我 们 在 Web 浏 览 器 里 
输入 网 站 地 址 (例如 : www.etiantian.org) 时 ， 很 快 就 会 看 到 网 站 的 内 容 。 这 一 切 似乎 看 起 来 很 神奇 ， 那 么 在 其 背后 到 底 是 怎样 的 实现 流程 呢 ? 也许 普 通 的 上 网 者 无 需 关注 ， 但 作为 一 个 IT 技术 人 员 ， 特 别 
是 合格 的 Linux 运 维 人 员 ， 就 需要 清晰 的 掌握 了 。 


下 面 者 男孩 就 为 大 家 揭晓 从 客户 端 用 户 在 Web 浏 览 器 里 输入 网 站 地 址 ， 到 看 到 网 站 内 容 的 完整 访问 流程 。 


第 一 步 : 客户 端 用 户 在 浏览 器 里 输入 www.etiantian.org 网 站 地 址 ， 回 车 后 ， 系 统 首先 会 查找 系统 本 地 的 DNS 缓存 及 hosts 文 件 信息 ， 确 定 是 否 存在 www.etiantian.org 域 名 对 应 的 |P 解 析 记 录 ， 如 果 有 
就 直接 获取 IP 地 址 ， 然 后 去 访问 这 个 IP 地 址 对 应 域名 www.etiantian.org 的 服务 器 。 一 般 第 一 次 请 求 时 ，DNS 缓 存 是 没有 解析 记录 的 ， 而 hosts 多 在 内 部 临时 测试 时 使 用 。 


第 二 步 : 如 果 客户 端 本 地 DNS 缓存 及 hosts 文 件 没 有 www.etiantian.org 域 名 对 应 的 解析 记录 ， 那 么 ， 系 统 会 把 浏览 器 的 解析 请 求 发 送 给 客户 端 本 地 设置 的 DNS 服务 器 地 址 (通常 称 此 DNS 为 LDNS， 即 
Local DNS) 解析 ， 如 果 LDNS 服 务 器 的 本 地 缓存 有 对 应 的 解析 记录 就 会 直接 返回 I|P 地 址 给 客户 端 ， 如 果 没 有 ， 则 LDNS 会 负责 继续 请 求 其 他 的 DNS 服务 器 。 


第 三 步 : LDNS 从 DNS 系 统 的 (".") 根 开始 请 求 对 www.etiantian.org 域 名 的 解析 ， 并 针对 各 个 层级 的 DNS 服务 器 系统 进行 一 系列 的 查找 ， 最 终 会 查找 到 etiantian.org 域 名 对 应 的 授权 DNS 服务 器 ， 而 
这 个 授权 DNS 服务 器 正 是 企业 购买 域名 时 用 于 管理 域名 解析 的 服务 器 ， 这 个 授权 服务 器 会 有 www-.etiantian.org 对 应 的 |P 解 析 记 录 。 如 果 此 时 没有 ， 就 表示 企业 的 域名 管理 人 员 没 有 为 www.etiantian.org 域 
名 做 解析 设置 ， 即 网 站 还 没 架设 好 。 


第 四 步 : etiantian.org 域 名 的 授权 DNS 服 务 器 会 把 www.etiantian.org 对 应 的 最 终 IP 解 析 记 录 (例如 : 1.1.1.1) 发 给 LDNS。 


第 五 步 : LDNS 把 来 自 授权 DNS 服务 器 www.etiantian.org 对 应 的 IP 解 析 记 录 发 给 客户 端 浏览 器 ， 并 且 它 会 把 该 域名 和 IP 的 对 应 解析 缓存 起 来 ， 以 便 下 一 次 更 快 地 返 
录 在 指定 的 时 间 (DNS TTL 值 控制 ) 内 不 会 过 期 。 


回 


相同 解析 请 求 的 记录 ， 这 些 缓存 记 


第 六 步 : 客户 端 浏览 器 获取 了 www.etiantian.org 的 对 应 IP 地 址 ， 接 下 来 ， 浏 览 器 会 请 求 获得 IP 地 址 对 应 的 网 站 服务 器 ， 网 站 服务 器 接收 到 客户 的 请 求 并 响应 处 理 (此 处 的 处 理 可 能 是 数 百 台 集群 的 服务 
器 系统 ， 也 可 能 是 一 台 云 主 机 ) ， 将 客户 请 求 的 内 容 返 回 给 客户 端 浏览 器 。 至 此 ， 一 次 访问 浏览 网 页 的 完整 过 程 就 完成 了 。 


@ 握 示 : 上 述 仅仅 是 客户 端 用 户 第 一 次 访问 网 站 的 基本 过 程 ， 连 续 访 问 后 ， 系 统 本 地 和 LDNS 层 级 都 会 有 缓存 记录 ， 再 访问 时 流程 就 会 有 些 变化 ， 会 直接 取 本 地 缓存 记录 ， 这 样 访问 过 程 就 很 块 了 。 在 
上 述 整个 访问 流程 里 ， 包 含 了 DNS 的 解析 流程 及 HTTP 协 议 的 通信 原理 等 重要 的 技术 点 ， 后 者 在 下 文 会 有 详细 说 明 。 


客户 端 用 户 第 一 次 访问 网 站 的 整个 流程 解析 如 图 4-1 所 示 。 
ea: 


1) 查看 Windows 客 户 端 本 地 缓存 的 DNS 解析 记录 的 命令 如 下 。 


C: \ >ipconfig /displaydns 一 意思 为 Display the contents of the DNS Resolver 
Cache (显示 DNS CACHE 内 容 ) ，“/displaydns” 前 要 有 空格 


2) 清除 Windows 客 户 端 本 地 缓存 的 DNS 解析 记录 的 命令 如 下 。 


C: \ >ipconfig /flushdns 一 意思 为 Purges the DNS Resolver cache (清除 DNS CACHE 
内 容 ) ，“/flushdns” 前 要 有 空格 


3) Windows 系 统 下 hosts 域 名 解析 记录 的 位 置 如 下 。 


C: \Windows\System32\drivers\etc\hosts 


用 户 访问 网 站 基本 流程 


| 本 站 www.etiantian.org 用 户 源 站 
人 人 DNS Ip = 1.1.1.1 


2. 请 求 域名 www.etiantian org 
对 应 IP 


6. 返回 内 容 


200 OK 
3. 返回 域名 对 应 


P= 5. 请 求 www.etiantian.org 的 内 容 


1. 请 求 域名 www.etiantian.ofg 


< 


4. 返回 域名 对 应 
DNS 解析 了 下 ,一 :了 
实现 域名 到 IP 地 址 的 转换 


LDNS 


用 户 
访问 http://www.etiantian.org 访问 实际 的 网 页 内 容 


图 4-1 用 户 访问 Web 网 站 的 基本 流程 


第 4 章 Web 服务 基础 


4.1 HTTP 服 务 的 重要 基础 


4.1.1 用 户 访问 网 站 基本 流程 


我 们 每 天 都 会 使 用 Web 客 户 端 上 网 浏览 网 页 。 最 常见 的 Web 客 户 端 就 是 Web 浏 览 器 ， 如 通用 的 微软 Internet Explorer (IE) ， 以 及 技术 人 员 偏爱 的 火狐 浏览 器 、 谷 歌 浏览 器 等 。 当 我 们 在 Web 浏 览 器 里 
输入 网 站 地 址 (例如 : www.etiantian.org) 时 ， 很 快 就 会 看 到 网 站 的 内 容 。 这 一 切 似乎 看 起 来 很 神奇 ， 那 么 在 其 背后 到 底 是 怎样 的 实现 流程 呢 ? 也许 普 通 的 上 网 者 无 需 关注 ， 但 作为 一 个 IT 技术 人 员 ， 特 别 
是 合格 的 Linux 运 维 人 员 ， 就 需要 清晰 的 掌握 了 。 


下 面 老 男 孩 就 为 大 家 揭晓 从 客户 端 用 户 在 Web 浏 览 器 里 输入 网 站 地 址 ， 到 看 到 网 站 内 容 的 完整 访问 流程 。 


第 一 步 : 客户 端 用 户 在 浏览 器 里 输入 www.etiantian.org 网 站 地 址 ， 回 车 后 ， 系 统 首先 会 查找 系统 本 地 的 DNS 缓存 及 hosts 文 件 信息 ， 确 定 是 否 存在 www.etiantian.org 域 名 对 应 的 IP 解 析 记 录 ， 如 果 有 
就 直接 获取 IP 地 址 ， 然 后 去 访问 这 个 I|P 地 址 对 应 域名 www.etiantian.org 的 服务 器 。 一 般 第 一 次 请 求 时 ，DNS 缓 存 是 没有 解析 记录 的 ， 而 hosts 多 在 内 部 临时 测试 时 使 用 。 


第 二 步 : 如 果 客 户 端 本 地 DNS 缓存 及 hosts 文 件 没有 www.etiantian.org 域 名 对 应 的 解析 记录 ， 那 么 ， 系 统 会 把 浏览 器 的 解析 请 求 发 送 给 客户 端 本 地 设置 的 DNS 服务 器 地 址 (通常 称 此 DNS 为 LDNS， 即 
Local DNS) 解析 ， 如 果 LDNS 服 务 器 的 本 地 缓存 有 对 应 的 解析 记录 就 会 直接 返回 IP 地 址 给 客户 端 ， 如 果 没 有 ， 则 LDNS 会 负责 继续 请 求 其 他 的 DNS 服务 器 。 


第 三 步 : LDNS 从 DNS 系 统 的 (".") 根 开始 请 求 对 www.etiantian.org 域 名 的 解析 ， 并 针对 各 个 层级 的 DNS 服务 器 系统 进行 一 系列 的 查找 ， 最 终 会 查找 到 etiantian.org 域 名 对 应 的 授权 DNS 服务 器 ， 而 
这 个 授权 DNS 服 务 器 正 是 企业 购买 域名 时 用 于 管理 域名 解析 的 服务 器 ， 这 个 授权 服务 器 会 有 www.etiantian.org 对 应 的 IP 解 析 记 录 。 如 果 此 时 没有 ， 就 表示 企业 的 域名 管理 人 员 没 有 为 www.etiantian.org 域 
名 做 解析 设置 ， 即 网 站 还 没 架设 好 。 


第 四 步 : etiantian.org 域 名 的 授权 DNS 服务 器 会 把 www.etiantian.org 对 应 的 最 终 IP 解 析 记 录 (例如 : 1.1.1.1) 发 给 LDNS。 


第 五 步 : LDNS 把 来 自 授 权 DNS 服 务 器 www.etiantian.org 对 应 的 IP 解 析 记 录 发 给 客户 端 浏 览 器 ， 并 且 它 会 把 该 域名 和 IP 的 对 应 解析 缓存 起 来 ， 以 便 下 一 次 更 快 地 返回 相同 解析 请 求 的 记录 ， 这 些 缓存 记 
录 在 指定 的 时 间 (DNS TTL 值 控制 ) 内 不 会 过 期 。 


第 六 步 : 客户 端 浏览 器 获取 了 www.etiantian.org 的 对 应 IP 地 址 ， 接 下 来 ， 浏 览 器 会 请 求 获得 IP 地 址 对 应 的 网 站 服务 器 ， 网 站 服务 器 接收 到 客户 的 请 求 并 响应 处 理 (此 处 的 处 理 可 能 是 数 百 台 集群 的 服务 
器 系统 ， 也 可 能 是 一 台 云 主机 ) ， 将 客户 请 求 的 内 容 返 回 给 客户 端 浏览 器 。 至 此 ， 一 次 访问 浏览 网 页 的 完整 过 程 就 完成 了 。 


@ 握 示 : 上 述 仅仅 是 客户 端 用 户 第 一 次 访问 网 站 的 基本 过 程 ， 连 续 访 问 后 ， 系 统 本 地 和 LDNS 层 级 都 会 有 缓存 记录 ， 再 访问 时 流程 就 会 有 些 变 化 ， 会 直接 取 本 地 缓存 记录 ， 这 样 访问 过 程 就 很 块 了 。 在 
上 述 整个 访问 流程 里 ， 包 含 了 DNS 的 解析 流程 及 HTTP 协 议 的 通信 原理 等 重要 的 技术 点 ， 后 者 在 下 文 会 有 详细 说 明 。 


客户 端 用 户 第 一 次 访问 网 站 的 整个 流程 解析 如 图 4-1 所 示 。 


1) 查看 Windows 客 户 端 本 地 缓存 的 DNS 解析 记录 的 命令 如 下 。 


C: \ >ipconfig /displaydns 一 意思 为 Disp1ay the contents of the DNS Resolver 
Cache (显示 DNS CACHE 内 容 ) ，“/displaydns” 前 要 有 空格 


2) 清除 Windows 客 户 端 本 地 缓存 的 DNS 解析 记录 的 命令 如 下 。 


C: \ >ipconfig /flushdns 一 意思 为 Purges the DNS Resolver cache (清除 DNS CACHE 
内 容 ) ，“/flushdns” 前 要 有 空格 


3) Windows 系 统 下 hosts 域 名 解析 记录 的 位 置 如 下 。 


C: \Windows\System32\drivers\etc\hosts 


网 站 www.etiantian.org 用 户 源 站 
授权 DNS IP=1.1.1.1 


2. 请 求 域名 www.etiantian_org 


6. 返回 内 容 


200 OK 
3. 返回 域名 对 应 


IP=1.1.1.1 . 请 求 www.etiantian.org 的 内 容 


1. 请 求 域名 wwwi.etiantian.ofg 


一 国 / 


4. 返回 域名 对 应 
DNS 解析 PP =111;1 用 户 
实现 域名 到 IP 地 址 的 转换 


LDNS 


访问 http:Wwww.etiantian.org 访问 实际 的 网 页 内 容 


图 4-1 用 户 访问 Web 网 站 的 基本 流程 


4.2 _ HTTP 协议 


4.2.1 HTTP 协 议 简介 


HTTP 协 议 ， 全 称 为 HyperText Transfer Protocol， 中 文 名 为 超 文本 传输 协议 ， 是 互联 网 中 最 常用 的 一 种 网 络 协议 。HTTP 的 重要 应 用 之 一 是 WWW 服 务 。 设 计 HTTP 协 议 最 初 的 目的 就 是 提供 一 种 发 布 
和 接收 HTML (一 种 页 面 标记 语言 ) 页 面 的 方法 。 


HTTP 协 议 是 互联 网 上 常用 的 通信 协议 之 一 。 它 有 很 多 的 应 用 ， 但 最 流行 的 就 是 用 于 Web 浏 览 器 和 Web 服 务 器 之 间 的 通信 ， 即 WWW 应 用 或 称 Web 应 用 。 


WWW, 全 称 为 World Wide Web， 常 称 为 Web， 中 文 译 为 “万 维 网 ”。 它 是 目前 互联 网 上 最 受用 户 欢 迎 的 信息 服务 形式 。HTTP 协 议 的 WWW 服 务 应 用 的 默认 端口 为 80， 另 外 一 个 加 密 的 WWW 服 务 
用 https 的 默认 端口 为 443， 主 要 用 于 网 银 、 支 付 等 和 钱 相关 的 业务 。 当 今 ，HTTP 服 务 、WWW 服 务 、Web 服 务 三 者 的 概念 已 经 混淆 了 ， 在 本 书 中 也 视 为 相同 ， 都 是 指 当下 最 常见 的 网 站 服务 应 用 。 


局 


4.3 HTTP 资源 


4.3.1 媒体 类 型 


互联 网 上 的 数据 有 很 多 不 同 的 类 型 ，Web 服 务 器 会 把 通过 Web 传 输 的 每 个 对 象 都 打上 MIME 类 型 ( 即 MIME type) 的 数据 格式 标签 。 最 初 设计 MIME (Multipurpose Internet Mail Extension， 多 用 
因特网 邮件 扩展 ) 是 为 了 解决 在 不 同 的 电子 邮件 系统 之 间 搬 移 报 文 时 存在 的 问题 。MIME 在 电子 邮件 系统 中 工作 得 非常 好 ， 后 来 ，HTTP 也 支持 了 这 个 功能 ， 用 它 来 描述 数据 并 标记 不 同 的 数据 内 容 类 型 。 


斑 


当 Web 服 务 器 响应 HTTP 请 求 时 ， 会 为 每 一 个 HTTP 对 象 数据 加 一 个 MIME 类 型 。 当 Web 浏 览 器 获取 到 服务 器 返回 的 对 象 时 ， 会 去 查看 相关 的 MIME 类 型 ， 并 进行 相应 处 理 。 


MIME 类 型 存在 于 HTTP 响 应 报 文 的 响应 头 部 信息 里 ， 它 是 一 种 文本 标记 ， 表 示 一 种 主要 的 对 象 类 型 和 一 个 特定 的 子 类 型 ， 中 间 由 一 条 和 斜 杠 来 分 隔 。 表 4-8 为 生产 场景 最 常见 的 MIME 类 型 。 


MIME 类 型 


text/html 
text/css 
text/xml 
image/gif 


image/jpeg 


表 4-8 ”生产 场景 最 常见 的 MIME 类 


application/javascript 


站 
文件 类 型 
html、htm、shtml 文本 类 型 

css 文本 类 型 

xml 文本 类 型 

gif 图 像 类 型 
jpeg、jpg 图 像 类 型 
js 文本 类 型 


text/plain txt 文本 类 型 
application/json json 文本 类 型 
video/mp4 mp4 视频 类 型 
video/quicktime mov 视频 类 型 
video/x-flv flv 视频 类 型 
video/x-ms-Wwimyv wmyv 视频 类 型 
video/x-msvideo avi 视频 类 型 


可 以 从 www 的 重要 服务 软件 Nginx 的 配置 文件 conf 


录 下 ， 查 看 其 支持 的 媒体 类 型 ， 相 关 命 令 及 内 容 如 下 : 


[root@nginx conf]# less mime.types 
types { 


text/html html htm shtml; 
text/css css 

text/xml xml; 

image/gif gif; 

image/jpeg jpeg jpg; 
application/javascript Tas 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/ 


.省略 http://www.hzcourse.com/resource/readBook?path=/openresources, 
Pp a ex 


4.4 ”网 站 流量 度量 术语 


44.1 IP 


IP (独立 IP) ， 即 Internet Protocol， 这 里 指 独 立 I|P 数 ， 独 立 I|P 数 是 指 不 同 IP 地 | 
地 址 的 客户 端 访问 网 站 页 面 只 会 被 计 为 一 次 ， 记 录 独 立 IP 的 时 间 可 为 一 天 或 一 个 月 ， 


前 通 


的 标准 为 “一 天 ”。 


由 上 的 计算 机 访问 网 站 时 被 计 的 总 次 数 。 独 立 IP 数 是 衡量 网 站 流量 的 一 个 


假设 有 部 分 同学 在 老 男孩 教育 的 局 域 网 中 同时 打开 了 老 男孩 博客 (http://oldboy.blog.51cto.com) ， 请 问 对 于 51CTO 网 站 是 几 个 独立 IP? 答 : 是 一 个 独立 IP。 


这 是 因为 ， 国 内 所 有 的 公司 几乎 都 是 采 


局 域 网 共享 上 网 的 ， 即 通过 路 由 器 NAT 地 址 转换 上 网 ， 每 个 计算 机 在 局 域 


由 器 接口 的 固定 公 网 IP (多 1IP 映 射 暂 不 考虑 ) ， 所 以 说 ， 对 于 网 站 来 说 一 天 内 多 个 相同 IP 的 客户 端 访 问 会 被 计 为 一 个 独立 IP。 


再 假设 一 个 客户 机 
时 ， 网 站 独立 IP 数 是 多 少 ? 答 : 是 3 个 独立 IP。 


由 此 可 见 ， 通 过 独立 IP 数 度量 网 站 访问 量 ， 和 实际 的 访问 情况 不 是 很 匹配 。 国 内 的 企业 、 学 校 等 多 数 是 


是 IT 技术 人 员 比 较 关心 的 一 个 衡量 网 站 的 指标 。 


4.5 ”WWW 服务 软件 介绍 


4.5.1 WWW 软 件 全 球 使 用 排名 参考 


截止 到 作者 写 稿 时 为 止 , WWW 应 


软件 存世 量 在 数 十 种 以 上 ， 不 同 的 WWW 应 


软件 在 不 同时 间 点 的 排名 参考 图 


NAT 上 网 的 ， 一 个 独立 IP 背 后 可 能 有 数 十 上 百 个 客户 端 访问 。 独 立 IP 数 虽 


人 
和 
网 


4-9 和 表 4-13。 


要 指标 。 一 般 一 天 内 (00: 00-24: 00) 相同 IP 


网 内 的 私有 IP 是 不 同 的 ， 但 是 在 外 网 上 ， 就 必须 由 路 由 器 把 每 个 私 网 地 址 转换 成 了 路 


通过 ADSL 等 直接 拨号 上 网 ， 但 是 上 网 的 时 候 偶 尔 掉 线 ， 一 共 重 新 拨号 了 3 次 (相近 时 间 重 新 拨号 |P 地 址 相同 的 几率 是 极 小 的 ) ， 然 后 每 次 都 继续 打开 老 男 孩 的 博客 地 址 ， 请 问 此 


然 不 是 很 准确 ， 但 却 
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图 4-8 ”2012-03-25 日 WWW 软 件 的 排名 
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图 4-9 3 年 后 的 2015-03-25 日 WWW 软 件 的 排名 


从 上 述 趋势 变化 [1 不 难 发 现 ，Apache 虽 然 份额 最 大 ， 但 是 有 逐年 下 降 趋势 ， 而 Nginx 这 个 后 起 之 秀 上 升 趋势 显著 。 另 外 ，Nginx 的 分 支 Tengine， 也 从 看 不 见 身 影 发 展 到 逐渐 占有 一 定 份额 了 。 


表 4-13 排名 变化 对 比 


WWW 软件 2012 年 2015 年 趋势 变化 
Apache 66.6% 58.4% | 下 降 近 9 个 百分点 
IIS 18.4% 13.3% 下 降 近 5 个 百分点 
Nginx 10.6% | 23.3% | 增加 近 13 个 百分点 
Tengine 无 排名 0.2% | 增加 近 0.2 个 百分点 
Tomcat 0.7% 0.4% 下 降 了 0.3 个 百分点 


[由 上 述 数 据 来 自 http://w3techs.com/technologies/overview/web_server/all。 


4.6 ”本 章 重 点 回顾 


(1) 用 户 访问 网 站 基本 流程 。 


(2 


DNS 系统 解析 原理 。 


(3 


HTTP 协 议 通信 原理 ， 包 括 HTTP 协 议 、 请 求 报 文 、 响 应 报 文 、 状 态 码 等 相关 知识 。 


(4) 动态 、 静 态 概念 特点 及 擅 静 态 技术 。 


(5) 动态 转 静 态 Web 优 化 方案 。 


(6) IP、PV、UV 的 概念 和 区 别 。 


(7 


(8 


了 和 解 常 用 WWW 服 务 软 件 特 点 ， 如 Apache、Nginx、PHP (FastCGI) 、Tomcat、Resin 等 。 


4.7 ”本 章 知识 相关 面试 考试 题 


《 


请 描述 DNS 系 统 的 解析 原理 。 


(2) 请 描述 HTTP 协 议 的 工作 原理 。 
(3) 请 问 你 公司 的 网 站 访问 量 是 多 少 ? 
(4) 请 说 出 HTTP 状 态 码 200、301、403、404、500、502、504 代 表 的 意义 。 


4.8 ”本 章 参考 资料 


« HTTP-Hypertext Transfer Protocol 
http://www.w3.org/Protocols/ 
* HTTP/1.1 
http://www.w3.org/Protocols/rfc2616/rfc2616.html 
“ 统一 资源 标识 符 (URI) 
http://zh.wikipedia.org/wiki/9%E796BB969F%E496B8968096E896B5968496E69BA969096E696A0968796E596BF96979%E796AC9%A6 
“ 统一 资源 定位 符 (URL) 


http://zh.wikipedia.org/w/index.phptitle=9%E796BB969F96E496B8968096E896B5968496E696BA969096E596AE969A%6E496BD968D9%E79%6AC%A6&redirect=no 


第 5 章 ”Nginx Web 服 务 应 用 


本 章 主要 对 Nginx Web 服 务 软件 进行 介绍 ， 涉 及 Nginx 的 基础 、 特 性 、 配 置 部 署 、 优 化 ， 以 及 企业 中 的 日 常 运 维 管理 和 应 用 。 作 为 HTTP 服 务 软件 的 后 起 之 秀 ，Nginx 与 它 的 老大 哥 Apache 相 比 有 很 多 
改进 之 处 ， 比 如 ， 在 性 能 上 ，N9ginx 占 用 的 系统 资源 更 少 ， 能 支持 更 多 的 并 发 连接 (特别 是 静态 小 文件 场景 下 ) ， 达 到 更 高 的 访问 效率 ; 在 功能 上 ，Nginx 不 但 是 一 个 优秀 的 Web 服 务 软件 ， 还 可 以 作为 反 
向 代理 负载 均衡 及 缓存 服务 使 用 ;在 安装 配置 上 ，Nginx 更 为 方便 、 简 单 、 灵 活 ， 可 以 说 ，Nginx 是 一 个 极 具 发 展 潜力 的 Web 服 务 软件 。 下 面 就 开始 详细 介绍 Nginx Web 服 务 软件 。 


5.1 Nginx 介 绍 


5.1.1 Nginx 是 什么 


如 果 你 听 说 或 使 用 过 Apache 软 件 ， 那 么 很 快 就 会 熟悉 Nginx 软 件 ， 与 Apache 软 件 类 似 ，Nginx (“engine x”) 是 一 个 开源 的 ， 支 持 高 性 能 、 高 并 发 的 WWW 服 务 和 代理 服务 软件 。 它 是 由 俄罗斯 人 
lgor Sysoev 开 发 的 ， 最 初 被 应 用 在 俄罗斯 的 大 型 网 站 www.rambler.ru 上 。 后 来 作者 将 源 代码 以 类 BSD 许 可 证 的 形式 开源 出 来 供 全 球 使 用 。 


Nginx 因 具有 高 并 发 (特别 是 静态 资源 ) 、 占 用 系统 资源 少 等 特性 ， 且 功能 丰富 而 逐渐 流行 起 来 。 


在 功能 应 用 方面 ，Nginx 不 但 是 一 个 优秀 的 Web 服 务 软件 ， 还 具有 反 向 代理 负载 均衡 功能 和 缓存 服务 功能 。 在 反 向 代理 负载 均衡 功能 方面 ， 它 类 似 于 大 名 易 易 的 LVS 负 载 均衡 及 Haproxy 等 专业 代理 软 
件 ， 但 是 Nginx 部 署 起 来 更 为 简单 、 方 便 ; 在 缓存 服务 功能 方面 ， 它 又 类 似 于 Squid 等 专业 的 缓存 服务 软件 。 


Nginx 可 以 运行 在 UNIX、Linux、BSD、Mac OS X、Solaris， 以 及 Microsoft Windows 等 操作 系统 中 。 随 着 Nginx 在 国内 很 多 大 型 网 站 中 的 稳定 高 效 运行 ， 近 两 年 它 也 逐渐 被 越 来 越 多 的 中 小 型 网 站 所 
使 用 。 当 前 流行 的 Nginx Web 组 合 被 称 为 LNMP 或 LEMP ( 即 Linux Nginx MySQL PHP) ， 其 中 LEMP 里 的 E 取 自 Nginx (“engine x”) 。 


Nginx 的 官方 介绍 见 http://nginx.org/en/。 


5.2 Nginx Web 服 务 


本 仙 


重 于 Nginx 作 为 Web 服 务 的 应 


5.3 ”编译 安装 Nginx 


到 目前 为 止 ， 还 未 发 现 操 作 系统 ISO 镜像 自 带 ， 或 者 默认 情况 下 yum 可 以 直接 通过 rpm 包 方法 安装 Nginx 的 情况 。 如 果 要 使 用 yum 安 装 Nginx， 则 需要 配置 epel yum 源 或 去 官方 寻找 。 接 下 来 重点 讲 
Nginx 的 编译 方式 安装 ， 如 果 是 大 规模 的 安装 ， 可 以 先 根据 自身 的 业务 需求 定制 好 rpm 包 ， 然 后 放 到 yum 仓 库 里 通过 yum 来 安装 ， 有 关 rpm 包 的 定制 及 yum 仓 库 的 搭建 ， 请 看 老 男 孩 的 博 
客 : http://user.qzone.qq.com/49000448/blog/1426987479。 


1. 安 装 Nginx 所 需 的 pcre 库 


pcre 的 全 称 为 perl compatible regular expressions， 中 文 译 为 “perl 兼 容 正则 表达 式 ”， 官 方 站 点 为 http://www.pcre.org/， 安 装 pcre 库 是 为 了 使 Nginx 支 持 具备 URI 重 写 功 能 的 rewrite 模 块 ， 如 果 
不 安装 pcre 库 ， 则 Nginx 无 法 使 用 rewrite 模 块 功能 ，Nginx 的 rewrite 模 块 功能 几乎 是 企业 应 用 必须 的 。 安 装 pcre 库 的 过 程 如 下 。 


1) 查看 当前 Linux 系 统 环境 ， 命 令 如 下 : 


[root@www ~]# cat /etc/redhat-release 
CentOS release 6.6 (Final) 

[root@www ~]# uname -r 
2.6.32-504.e16.x86 64 

[root@www ~]# uname -m 

x86_64#<=-64 位 系统 


2) 采用 yum 安 装 方式 安装 pcre ( 老 男孩 推荐 的 安装 方法 ) ， 命 令 如 下 : 


[root@www ~]# yum install pcre pcre-devel -y 
[root@www ~]# rpm -qa pcre pcre-devel 


yum 安 装 操作 后 检查 安装 结果 ， 命 令 如 下 : 


[root@www ~]# rpm -qa pcre pcre-devel 
pcre-devel-7.8-6.e16.x86 64 
Pcre-7.8-6.e16.X86_64 提 示 : yum 安 装 的 pcre 版 本 有 些 低 ， 不 过 一 般 情况 不 影响 使 用 


也 可 采用 编译 方法 安装 pcre， 比 较 复杂 不 推荐 。 


2. 安 装 Nginx 


Nginx 的 英文 官方 网 站 是 http://nginx.org/， 在 这 里 可 以 查看 Nginx 的 各 个 软件 版 本 信息 。Nginx 软 件 有 三 种 版 本 : 稳定 版 、 开 发 版 和 历史 稳定 版 。 开 发 版 更 新 较 快 ， 包 含 最 新 的 功能 和 bug 的 修复 ， 但 
同时 也 可 能 会 遇 到 新 的 bug， 开 发 版 的 更 新 一 旦 稳定 下 来 ， 就 会 被 纳入 稳定 版 中 。 但 是 ， 有 些 新 功能 不 会 被 加 到 旧 的 稳定 版 中 去 。 稳 定 版 本 的 更 新 较 慢 ， 但 是 软件 bug 也 会 较 少 ， 可 以 作为 企业 生产 环境 的 
首选 ， 因 此 通常 建议 选择 使 用 稳定 版 。 当 然 ， 在 实际 工作 中 ， 选 择 稳定 版 时 ， 尽 量 避 免 使 用 最 新 的 版 本 ， 选 择 比 已 出 来 的 最 新 版 晚 6~10 个 月 的 版 本 比较 好 。 本 书 中 考虑 到 从 写 书 到 出 版 会 有 较 长 时 间 间 隔 ， 
因此 选择 的 是 写 书 期 间 推出 的 最 新 稳定 版 (nginx-1.6.3 stable) 。 


Nginx 的 安装 非常 简单 ， 具 体 的 操作 过 程 及 屏幕 输出 如 下 。 


(1) 检查 并 安装 Nginx 基 础 依赖 包 pcre-devel、openssl-devel 


要 想 正 确 安装 Nginx， 首 先 必须 安装 好 pcre-devel、openssl-devel 包 ， 因 此 先 要 检查 这 些 Nginx 基 础 依赖 包 是 否 安 装 ， 操 作 命 令 如 下 : 


[root@www ~]# rpm -qa pcre-devel pcre 


pcre-devel-7.8-6.e16.x86_64 #<==pcre 的 devel 包 已 经 安装 ! 
pcre-7.8-6.e16.x86 64 #<==pcre 包 已 经 安装 ! 

[root@www ~]# rpm -qa openssl-devel openssl 

openssl-1.0.1e-30.e16.x86_ 64 #<== 这 里 没有 opens11“devel” 字 符 囊 的 包 


Os: 名 称 中 带 有 “devel” 字 符 串 的 软件 包 是 必须 要 安装 的 。 


(2) 安装 openssl-devel 


Nginx 在 使 用 HTTPS 服 务 的 时 候 要 用 到 此 模块 ， 如 果 不 安装 openssl 相 关 包 ， 安 装 Nginx 的 过 程 中 会 报错 。 安 装 openssl-devel 的 命令 及 检查 命令 如 下 : 


[root@www ~]# yum install -~y openssl openssl-devel 
[root@www ~]# rpm -qa openssl openssl-devel 
openssl-devel-1.0.1e-30.e16.8.x86 64 
openssl-1.0.1e-30.e16.8.x86 64 


(3) 开始 安装 Nginx 


操作 命令 如 下 : 


mkdir -p /home/oldboy/tools 

#-p 选 项 表示 不 提示 目录 是 否 存在 ， 循 环 向 下 创建 所 有 层级 目录 ， 如 果 存 在 就 会 忽略 。 

# 建 立 一 个 工具 目录 来 固定 存放 安装 的 各 种 软件 ， 这 里 老 男孩 使 用 个 人 用 户 oldboy 家 目录 下 的 tools 

cd /home/oldboy/tools 

# 进 入 /home/oldboy/tools 目 录 

wget -q http: //nginx.org/download/nginx-1.6.3.tar.gz 

# 下 载 软 件 包 ， 进 入 http: //nginx.org/download/ 复制 对 应 诅 本 的 链接 地 址 。 提示 ， 如 果 发 现 Nginx 软 件 下 载 地 址 已 不 可 用 ， 可 能 版 本 已 更 新 ， 可 去 官方 地 址 http: //www.nginx.org 下 载 。 
1s -1 nginx-1.6.3.tar.gz 

useradd nginx -s /sbin/nologin -M 

tar xf nginx-1.6.3.tar.gz 

cd nginx-1.6.3 

‘/configure --user=nginx --group=nginx --prefix=/application/nginx-1.6.3/ --with-http_ stub status module --with-http ssl module 
make 

make install 

ln -s /application/nginx-1.6. 2 /application/nginx 

# 这 条 1n 命 令 的 意义 十 分 深远 重大 。 这 可 是 生产 环境 的 经 验 。 


# 将 Nginx 安 装 路 径 通过 软 链接 的 方式 更 改 为 /application/nginx/， 方 便 人 员 使 用 。 

# 安 装 时 指定 版 本 号 路 径 是 为 了 便于 查看 区 分 当前 使 用 的 Nginx 版 本 ， 也 方便 以 后 升级 。 

# 内 部 人 员 使 用 路 径 /application/nginx/。 

# 当 Nginx 软 件 升级 编译 成 带 新 版 本 号 的 版 本 后 ， 删 除 原来 软 链接 ， 再 重新 建立 新 的 到 /application/nginx/ 的 软 链接 就 好 。 

# 程 序 中 如 果 有 引用 Nginx 路 径 的 地 方 ， 不 需要 做 任何 更 改 ， 因 为 升级 后 访问 路 径 还 是 /application/nginx/ 

cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 


检查 链接 及 目录 状态 ， 命 令 如 下 : 


11 /application1grep nginx 
1s -1 /application/nginx/ 


编译 Nginx 软 件 时 ， 可 以 使 用 ./configure--help 查 看 相关 参数 帮助 。 下 面 是 本 次 编译 时 指定 的 参数 及 简单 说 明 : 


—-prefix=PATH set installation prefix #< 一 设置 安装 路 径 。 
—-user=USER set non-privileged user for worker processes #<— 进 程 用 户 权 限 。 
--group=GROUP set non-privileged group for worker processes #<— 进 程 用 户 组 权限 。 
--with-http stub status module enable ngx http stub status module 

# 一 激活 状态 信息 。 
--with-http_ssl module enable ngx http_ssl module #- 一 激活 ssl 功 能 。 


ie: Nginx 的 大 部 分 模块 功能 都 会 默认 编译 到 软件 中 ， 不 需要 单独 指定 编译 参数 。 


下 面 是 安装 的 操作 过 程 。 


root@www ~]# mkdir -p /home/oldboy/tools 

root@www ~]# cd /home/oldboy/tools 

root@www tools]# wget -q http: //nginx.org/download/nginx-1.6.3.tar.gz 
root@www tools]# 1s -1 nginx-1.6.3.tar.gz 

—rWw-r--r-- 1 root root 804164 11 月 23 15: 26 nginx-1.6.3.tar.gz 
root@www tools]# useradd nginx -s /sbin/nologin -M 

root@www tools]# tar xf nginx-1.6.3.tar.gz 

root@www tools]# cd nginx-1.6.3 


root@www nginx-1.6.3]#./configure --user=nginx --group=nginx --prefix=/application/nginx --with-http stub status module --with-http ssl module 
root@www nginx-1.6.3]# make 下 于 一 
root@www nginx-1.6.3]# make install 

root@www nginx-1.6.3]# ln -s /application/nginx-1.6.3 /application/nginx 

root@www nginx-1.6.3]# ls -1 /application/nginx/ 总 用 量 16 


drwxr-xr-x. 2 root root 4096 8 月 13 11: 19 conf 
Grwxr-xr-x. 2 root root 4096 8 月 13 11: 19 html 
drwxr-xr-x. 2 root root 4096 8 月 13 11: 19 logs 
Grwxr-xr-x. 2 root root 4096 8 月 13 11: 19 sbin 


在 安装 环节 中 ， 如 果 遇 到 如 下 错误 : 


./configure: error: SSL modules require the OpenSSL library. 

You can either do not enable the modules, or install the OpenSSL library 
into the system, or build the OpenSSL library statically from the source 
with nginx by using --with-openssl=<path> option. 


则 解决 方法 是 执行 命令 : yum install openssl openssl-devel-y。 
到 此 ，Nginx 的 安装 工作 就 完成 了 。 


3. 启 动 并 检查 安装 结果 


安装 完 Nginx 后 ， 并 不 能 直接 对 外 提供 服务 ， 需 要 先 启动 Nginx 服 务 才 行 ， 具 体操 作 如 下 。 


(1) 启动 前 检查 配置 文件 语 ; 


命令 如 下 : 


[root@www tools]# /application/nginx/sbin/nginx -t 
nginx: the configuration file /application/nginx-1.6.3/conf/nginx.conf syntax is ok 
nginx: configuration file /application/nginx-1.6.3/conf/nginx.conf test is successful 


加 


jE 示 : 在 启动 服务 前 检查 语法 非常 重要 ， 可 以 防止 因 配 置 错误 导致 网 站 重启 或 重新 加 载 配置 等 对 用 户 的 影响。 
(2) 启动 Nginx 服 务 


启动 命令 如 下 : 


[root@www tools]# /application/nginx/sbin/nginx 


(3) 查看 Nginx 服 务 对 应 的 端口 是 否 成 功 启动 


命令 如 下 : 


[root@www tools]# lsof -i : 80 

COMMAND PID USER DD TYPE DEVICE SIZE/OFF NODE NAME 

nginx 10586 root 6u IPv4 21304 Ot0 TCP *: http (LISTEN) 
nginx 10587 nginx 6u IPv4 21304 Ot0 TCP *: http (LISTEN) 


也 可 以 通过 netstat-Intlgrep 80 查 看 ， 命 令 如 下 : 


[root@www tools]# netstat -lntlgrep 80 
tcp 0 0 0.0.0.0: 80 0.0.0.0: * LISTEN 


(4) 检查 Nginx 启 动 的 实际 效果 


在 Windows 下 通过 浏览 器 检测 的 方式 如 下 。 


打开 浏览 器 输入 http://10.0.0.8 (10.0.0.8 为 安装 Nginx 服 务 器 的 IP 地 址 ) ， 然 后 回 车 ， 如 果 看 到 如 图 5-6 所 示 的 内 容 ， 就 表示 Nginx 已 经 启动 了 。 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
Working. Further configuration is required., 


For online documentation and support please refer to nginx.org. 
Commercial support is avallable at nginx.com. 


THank you for Using Many, 


图 5-6 ”成 功 访问 Nginx 服 务 Web 界 面 图 


在 Linux 下 可 使 用 如 下 wget 命 令 检测 。 


[root@www tools]# wget 127.0.0.1 
-2015-04=03 1 44-- htt 
100% [=—== 
2015-04-03 14: 24: 44 (71.6 MB/s) 


//127.0.0.1/ 正 在 连接 127.0.0.1: 80http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/... 已 关 
一 : 一 >] 612 = 一/ in 0s 加 
“index.html” [612/612]) 


也 可 使 用 curl 命 令 检测 ， 如 下 : 


[root@www tools]# curl 127.0.0.1 
<! DOCTYPE html> 
<html> 
<head> 
<title>Welcome to nginx! </title> 
<style> 
body { 
width: 35em; 
margin: 0 auto; 
font-family: Tahoma, Verdana, Arial, sans-serif; 
} 
</style> 
</head> 
<body> 
<hl>Welcome to nginx! </hl> 
<p>If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required.</p> 
<p>For online documentation and support please refer to 
<a href="http: //nginx.org/">nginx.org</a>.<br/> 
Commercial support is available at 
<a href="http: //nginx.com/">nginx.com</a>.</p> 
<p><em>Thank you for using nginx.</em></p> 
</body> 
</html> 


以 上 3 种 方法 都 可 以 检测 Nginx 的 安装 及 浏览 是 否 正常 。 


a: 10.0.0.8 为 服务 器 的 IP 地 址 ， 也 可 以 通过 netstat-Intlgrep 80、lsof-i: 80 检 查 Nginx 服 务 器 端口 (默认 为 80) 来 判断 Nginx 是 否 已 启动 ， 或 者 通过 ps-eflgrep nginx 检 查 Nginx 服 务 进程 来 判 
当然 最 稳妥 的 方法 还 是 通过 URL 地 址 来 检查 。 在 后 面 的 监控 服务 中 还 会 提 到 这 个 问题 。 


要 


4.Nginx 启 动 的 疑难 杂 症 汇总 


问题 1: 启动 Nginx 时 有 如 下 报错 “nginx: [emerg]Jgetpwnam ("nginx") failed” 。 


解答 : 这 是 因为 没有 对 应 的 Nginx 服 务 用 户 ， 执 行 useradd nginx-s/sbin/nologin-M 创 建 Nginx 用 户 即 可 。 为 了 让 读者 理解 问题 ， 


[root@www tools]# pkill nginx 

[root@www tools]# userdel nginx 

[root@www tools]# /application/nginx/sbin/nginx 
nginx: [emerg] getpwnam ("nginx") failed 

[root@www tools]# useradd nginx -s /sbin/nologin -M 
[root@www tools]# /application/nginx/sbin/nginx 


所 


@iaa , 


问题 2: 编译 安装 pcre 编 译 软件 时 ，gcc 不 全 导致 报错 (本 文 使 用 um 安装 不 存在 此 问题 ) 。 


现 错误 过 程 排 错 ， 是 优秀 运 维 人 员 的 重要 本 领 之 一 ， 因 为 企业 场景 遇 到 问题， 经常 以 临时 性 快速 解决 为 主 ， 线 下 重 现 来 根治 ， 这 时 就 需要 模拟 重 现 错误 了 。 


报错 信息 如 下 : 


[root@gjlin2 pcre-8.30]# make && make install 

make all-am 

make[1]: Entering directory ‘/home/gjlin/tools/pcre-8.30' 
CXX Pcrecpp.1o 

libtool: compile: unrecognized option “-DHAVE CONFIG H' 
libtool: compile: Try “libtool --help' for more information. 
make[1]: *** [pcrecpp.10o] 错误 1 

make[1]: Leaving directory ‘/home/gjlin/tools/pcre-8.30"' 
make: **x* [all] 错误 2 


解答 : 执行 “yum-y install gcc-c++” 命 令 安 装 gcc-c++ 依 赖 包 。 


问题 3: 如 何 查 看 Nginx 编 译 时 的 参数 ? 


解答 : 可 采用 如 下 命令 查看 : 


[root@www conf]# http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../sbin/nginx -V 
nginx version: nginx/1.6.3 

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-11) (GCC) 

TLS SNI support enabled 

configure arguments: --user=nginx --group=nginx --prefix=/application/nginx-1.6.3 --with-http_stub_status_module --with-http_ ssl _ module 


问题 4: 浏览 器 、wget 或 curl 等 软件 访问 不 了 Nginx 页 面 。 


解答 : 此 类 问题 的 排查 思路 又 分 在 Nginx 服 务 器 端 排查 和 在 客户 端 排查 。 服 务 器 端的 排查 过 程 如 下 。 


首先 关闭 SELinux， 命 令 如 下 : 


[root@www tools]# setenforce 0 #<== 这 是 临时 关闭 selinux 的 方法 。 
setenforce: SELinux is disabled #<== 如 果 之 前 就 已 经 是 关闭 状态 ， 则 显示 disabled。 
[root@www tools]# grep SELINUX=disabled /etc/selinux/config 
#<== 永 久 关闭 的 方法 就 是 编辑 /etc/selinux/config， 然 后 将 SELINUX= enforcing 改 为 SELINUX=disabled 地 点 ， 前 文 讲 过 ， 此 处 不 再 费 述 ， 仅 仅 检 查 结果 
SELINUX=disabled 


然后 检查 防火 墙 。 命 令 如 下 : 


[root@www tools]# /etc/init.d/iptables stop 

#< 一 这 是 关闭 防火 墙 的 命令 ， 如 果 是 有 外 网 IP 的 生产 环境 ， 请 允许 80 端 口 的 访问 ， 而 不 是 关闭 防火 墙 ， 
# 允 许 命令 如 下 : iptables -I INPUT -p tcp --dport 80 -]j ACCEPT 

Flushing firewall rules: [ OK ] 

Setting chains to policy ACCEPT: filter [ OK ] 

Unloading iptables modules: [ OK ] 

[root@www tools]# chkconfig iptables off 

#<- 非 正式 环境 可 以 禁止 防火 墙 开 机 自 启动 ， 便 于 学 习 调 试 Nginx 服 务 。 等 掌握 防火 墙 技术 再 开启 才 好 。 
[root@www tools]# /etc/init.d/iptables status 

#<- 查 看 iptables 的 当前 状态 

Firewall is stopped. 


再 到 服务 器 本 地 检查 端口 、 进 程 和 URL。 此 过 程 又 分 4 步 。 


一 是 确认 端口 80 是 否 存 在 ,命令 如 下 : 


[root@www tools]# netstat -lnt|grep 80 
tcPp 0 | FP LISTEN 


二 是 查看 是 否 有 http 进 程 存在 ,命令 如 下 : 


[root@www tools]# ps -eflgrep nginx 


root 10637 1 0 14: 29 00: 00: 00 nginx: master process /application/ 
nginx/sbin/nginx 
nginx 10638 10637 0 14: 29 00: 00: 00 nginx: worker process 


root 10668 1075 0 14: 40 pts/0 00: 00: 00 grep nginx 提 示 : 默认 情况 仅 有 一 个 Nginx 进 程 


三 是 在 服务 器 本 地 进行 wget http://10.0.0.8 测 试 。 


@ 注 意 : 如 果 第 一 步 和 第 二 步 都 不 符合 要 求 ， 就 不 用 进行 第 三 步骤 了 。 直 接 执行 步 又 4 即 可 。 


这 里 把 本 地 服务 器 当 作 客户 端 来 模拟 用 户 检查 HTTP 服 务 ， 此 处 的 检查 比 步骤 一 和 步骤 二 的 更 准确 ， 同 时 可 以 排除 防火 墙 的 干扰 ， 如 果 可 正常 访问 ,说 明 Nginx 服 务 没 问题 ， 那 么 就 是 网 络 或 防火 墙 等 的 
问题 了 。 


第 四 步 是 查看 Nginx 的 错误 日 志 ， 确 定 是 否 有 特殊 异常 。 


如 果 以 上 四 步 全 都 检查 了 ， 基 本 上 问题 就 可 迎刃而解 了 ， 如 果 是 步骤 一 和 步骤 二 异常 ， 则 可 以 查看 Web 错 误 日 志 ， 获 取信 息 。 例 如 ， 刚 才 重 现 的 错误 在 错误 日 志 里 的 提示 如 下 : 


[root@www tools]# cat /application/nginx/logs/error.1log 
2015/07/03 14: 29: 20 [emerg] 10628#0: getpwnam ("nginx") failed 


全 辣 : 遇 到 问题 时 要 在 第 一 时 间 看 屏幕 返回 的 提示 和 Nginx 服 务 的 error.log， 获 取 有 效 信息 以 便 解 决 问题 。 这 是 运 维 工程 师 必须 具备 的 基本 技能 ! 在 实际 教学 工作 中 ， 发 现 有 不 少 学 生 ， 一 遇 到 问 
题 ， 无 论 大 小 ， 不 经 过 思考 就 到 处 去 问 。 这 样 的 学 习 方法 非常 不 好 ， 养 成 看 屏幕 输出 和 错误 日 志 的 习惯 才 是 学 习 的 正确 方法 ， 经 过 思考 后 还 无 法 解决 问题 ， 再 去 请 教 别人 才 是 最 好 的 。 


下 面 介 绍 客户 端 排查 的 思路 。 


第 一 步 ， 在 客户 端 上 ping 服 务 器 端 |P， 命 令 如 下 。 


ping 10.0.0.8 一 排除 物理 线路 问题 影响 


第 二 步 ， 在 客户 端 上 telnet 服 务 器 端 |P、 端 口 ， 命 令 如 下 : 


telnet 10.0.0.8 80 一 排除 防火 墙 等 得 影响 


第 三 步 ， 在 客户 端 使 用 wget 命 令 检测 ， 如 下 : 


wget 10.0.0.8 (curl -I 10.0.0.8) 一 模拟 用 户 访问 ， 排 除 http 服 务 自身 问题 ， 根 据 输出 再 排 错 


jE 示 : 以 上 三 步 是 客户 端 访问 网 站 异常 排查 的 重要 三 部 曲 。 


5. 小 试 牛刀 : 部 署 一 个 Web 站 点 


Nginx 的 默认 站 点 目录 是 Nginx 安 装 目 录 /application/nginx/ 下 的 html 目 录 ， 这 可 以 从 Nginx 主 配置 文件 /application/nginx/conf/nginx.conf 中 查 到 ， 内 容 如 下 : 


[root@www ~]# grep html /application/nginx/conf/nginx.conf 
root html; 一 这 个 就 是 默认 的 站 点 目录 html， 就 
是 /application/nginx/html 
index jindex.html index.htm; 一 这 是 站 点 的 首页 文件 


a: 此 处 的 /application/nginx/ 是 /application/nginx-1.6.3 的 软 链接 。 


此 时 ， 如 果 要 部 署 网 站 业务 数据 ， 只 需 把 开发 好 的 程序 全 部 放 到 /application/nginx/html 目 录 下 面 即 可 。 


这 里 进入 /application/nginx/html 下 ， 删 除 掉 Nginx 默 认 的 首页 index.html (原始 内 容 为 Welcome to Nginx 等 ) ， 然 后 新 建立 一 个 index.html， 加 入 如 下 网 页 内 容 ， 并 保存 : 


<html> 

<head><title>oldboy, s Nginx server blog.</title></head> 

<body> 

Hi, I am oldboy. My blog address is 

<a href="http: //oldboy.blog.51cto.com">http: //oldboy.blog.51cto.com</a> 
</body> 

</html> 


操作 过 程 如 下 : 


[root@www ~]# cd /application/nginx/html/ 

[root@www html]# rm -f index.html 

[root@www html]# vi index.html #<== 切 换 到 编辑 模式 下 ， 加 入 如 下 内 容 
<html> 

<head><title>oldboy, s Nginx server blog.</title></head> <body> Hi, I am oldbo 
y. My blog address is 

<a href="http: //oldboy.blog.51cto.com">http: //oldboy.blog.51cto.com</a> 
</body> 

</html> 


切换 到 命令 模式 保存 文件 后 查看 ,命令 如 下 : 


[root@www html]# cat index.html 

<html> 

<head><title>oldboy, s Nginx server blog.</title></head> <body> Hi, I am oldboy. My blog address is 
<a href="http: //oldboy.blog.51cto.com">http: //oldboy.blog.51cto.com</a> 

</body> 

</html> 


此 时 ， 打 开 浏 览 器 输入 http://10.0.0.8， 然 后 回 车 ， 应 该 可 以 看 到 如 图 5-7 所 示 的 内 容 。 


| [1 oldboy.s Nginx server blog. *% 


< CO mm ww hpi0.00a 


Hi,l am oldboy. My blog address is http:/ /oldbov, blog Bleto, com 


图 5-7 简单 Web 站 点 内 容 


我 们 可 以 手工 编写 HTML 程 序 ， 创 建 类 似 的 更 多 更 复杂 的 网 站 程序 。 看 到 这 里 ， 有 些 读者 可 能 不 以 为 然 ， 话 说 15 年 前 的 老 男孩 就 是 用 纯 手工 痪 HTML 程 序 ， 创 建 了 大 量 的 网 站 代码 。 如 今 的 互联 网 中 ， 
这 种 HTML 纯 静态 的 网 站 已 经 不 能 满足 需求 了 ， 也 因此 产生 了 ASP、PHP、JSP、Java 等 语言 。 在 后 面 的 章节 中 会 逐步 深入 说 明 相关 环境 的 部 署 ， 此 处 不 必 纠结 ， 跟 着 本 书 内 容 走 即 可 ， 有 关 动 静态 的 介绍 请 
参考 本 书 前 面 章节 。 


5.4 Nginx 技 术 的 深入 剖析 


5.4.1 Nginx 软 件 功能 模块 说 明 


Nginx 软 件 之 所 以 强大 ， 是 因为 它 具 有 众多 的 功能 模块 ， 下 面 列 出 了 企业 常用 的 重要 模块 。 


(1) Nginx 核 心 功能 模块 (Core functionality) 


Nginx 核 心 功能 模块 负责 Nginx 的 全 局 应 用 ， 主 要 对 应 主 配置 文件 的 Main 区 块 和 Events 区 块 区 域 ， 这 里 有 很 多 Nginx 必 须 的 全 局 参数 配置 。 有 关 核 心 功能 模块 的 详细 信息 ， 请 看 官网 ， 地 址 


为 : http://nginx.org/en/docs/ngx_core_module.html。 


(2) 标准 的 http 功 能 模块 集合 


这 些 标准 的 http 功 能 模块 ， 虽然 不 是 Nginx 软 件 所 必需 的 ， 但 都 是 很 常用 的 ， 因 此 绝 大 部 分 默认 情况 都 会 自动 安装 到 Nginx 软 件 中 ( 见 表 5-2) ， 不 建议 读者 擅自 改动 ， 保 留 软件 的 默认 配置 就 好 ， 除 非 
你 明确 知道 你 在 做 什么 ， 有 什么 额外 影响 。 


在 生产 环境 中 ， 配 置 、 调 整 及 优化 Nginx 软 件 ， 主 要 就 是 根据 这 些 模块 的 功能 修改 相应 的 参数 来 实现 的 。 通 过 官方 地 址 http://nginx.org/en/docs/ 可 以 查看 到 上 述 及 更 多 模块 的 详细 使 用 帮助 。 


表 5-2 企业 场景 常用 的 Nginx http 功 能 模块 汇总 


Nginx http 功能 模块 
ngx_http_core module 


nex http_access module 


ngx http_gzip module 


模块 说 明 
包括 一 些 核心 的 http 参数 配置 ， 对 应 Nginx 的 配置 为 HTTP 区 块 部 分 
访问 控制 模块 ， 用 来 控制 网 站 用 户 对 Nginx 的 访问 
压缩 模块 ， 对 Nginx 返回 的 数据 压缩 ， 属 于 性 能 优化 模块 


ngx http_fastcgi module 
ngx http_proxy_ module 
ngx_ http_upstream module 


ngx_ http_rewrite _ module 


FastCGI 模块 ， 和 动态 应 用 相关 的 模块 ， 例 如 PHP 

proxy 代理 模块 

负载 均衡 模块 ， 可 以 实现 网 站 的 负载 均衡 功能 及 节点 的 健康 检查 
URL 地 址 重 写 模块 


ngx http_ limit conn module 
ngx_ http_limit req module 
ngx http_ log module 

ngx http_auth basic module 


ngx_ http_ssl module 


限制 用 户 并 发 连接 数 及 请 求 数 模块 
根据 定义 的 key 限制 Nginx 请 求 过 程 的 速率 
访问 日 志 模 块 ， 以 指定 的 格式 记录 
Web 认证 模块 ， 设 置 Web 用 户 通过 账号 、 密 码 访问 Nginx 
ssl 模块 ， 用 于 加 密 的 http 连接 ， 如 https 


Nginx 客户 访问 日 志 等 信息 


ngx_http_stub status module 


记录 Nginx 基本 访问 状态 信息 等 的 模块 


5.5 ”Nginx 虚 拟 主机 配置 实战 


5.5.1 ”虚拟 主机 的 概念 和 类 型 介绍 


1. 虚 拟 主机 概念 


所 谓 虚 拟 主机 ， 在 Web 服 务 里 就 是 一 个 独立 的 网 站 站 点 ， 这 个 站 点 对 应 独立 的 域名 (也 可 能 是 IP 或 端 [ 


) ， 具 有 独立 的 程序 及 资源 目录 ， 可 以 独立 地 对 外 提供 服务 供用 户 访问 。 


这 个 独立 的 站 点 在 配 ee a 一 个 虚拟 主机 的 标签 段 通常 被 包含 在 <VirtualHost> </VirtualHost> 内 ， 而 Nginx 软 件 则 使 用 一 个 server0 标 签 来 标示 


2. 虚 拟 主机 类 型 


常见 的 虚拟 主机 类 型 有 如 下 几 种 。 


(1) 基于 域名 的 虚拟 主机 


所 谓 基于 域名 的 虚拟 主机 ， 意 思 就 是 通过 不 同 的 域名 


区 分 不 同 的 虚拟 主机 ， 基 于 域名 的 虚拟 


机 是 企业 应 


最 广 的 虚拟 主机 类 型 ， 几 乎 所 有 对 外 提供 服务 的 网 站 使 


的 都 是 基于 域名 的 虚拟 主机 ， 例 


访 


来 区 分 不 同 的 虚拟 主机 ， 此 类 虚拟 主机 对 应 的 企业 应 用 主要 为 公司 内 部 的 网 站 ， 例 如 : 一 些 不 希望 直接 对 外 提供 


户 访问 的 网 站 后 台 等 ， 


， 例 如 : http://www.etiantian.org:9000。 


如 : www.etiantian.org。 

(2) 基于 端口 的 虚拟 主机 

同 理 ， 所 谓 基于 端口 的 虚拟 主机 ， 意 思 就 是 通过 不 同 的 端 [ 
问 基于 端口 的 虚拟 主机 ， 地 址 里 要 带 有 端 

(3) 基于 IP 的 虚拟 主机 

同 理 ， 所 谓 基于 IP 的 虚拟 主机 ， 意 思 就 是 通过 不 同 的 IP 
Web 上 绑 定 IP 来 区 分 不 同 的 虚拟 机 。 

三 种 虚拟 主机 类 型 均 可 独立 使 用 ， 也 可 以 混合 使 


， 读 者 应 把 基于 域名 的 虚拟 主机 类 型 当做 


区 分 不 同 的 虚拟 主机 ， 此 类 虚拟 主机 对 应 的 企业 应 用 非常 少见 。 一 般 不 同 的 业务 需要 使 用 多 IP 的 场景 都 会 在 负载 均衡 器 上 进行 VIP 绑 定 ， 而 不 是 在 


重点 来 学 习 掌握 ， 其 他 的 两 个 类 型 了 解 即 可 。 


5.6 ”Nginx 常 用 功能 配置 实战 


5.6.1 规范 优化 Nginx 配 置 文件 


大 家 如 果 了 解 Apache 软 件 ， 就 会 知道 Apache 


配置 包含 虚拟 


机 子 文件 的 方法 ， 这 里 也 借鉴 了 Apache 的 这 种 包含 方法 。 


Nginx 的 主 配置 文件 为 nginx.conf， 主 配置 文件 包含 的 所 有 虚拟 主机 的 子 配置 文件 会 统一 放 入 extra 目 录 中 ， 虚 拟 主机 的 配置 文件 按照 网 站 的 域名 或 功能 取 名 ， 例 如 www.conf、bbs.conf、blog.conf 


这 里 使 


的 参数 是 include， 下 面 先 看 看 它 的 语法 : 


。 当 然 ， 如 果 虚 拟 主机 的 数量 不 是 很 多 ， 也 可 以 把 多 个 虚拟 主机 配置 成 一 个 单独 的 配置 文件 ， 仅 仅 和 Nginx 的 主 配置 文件 nginx.conf 分 离开 即 可 。 


include file | mask; 


它 可 以 放置 在 Nginx 配 置 中 的 任何 位 置 。 用 法 示例 如 下 []: 


include mime .types; 
include www.conf; 
include vhosts/*.conf; 


下 面 是 优化 Nginx 配 置 的 实战 方案 。 


具体 实施 步骤 如 下 : 


[root@www conf]# mkdir extra 
[root@www conf]# /bin/cp nginx.conf BaseName nginx.conf 
#== 以 基于 域名 的 砷 拟 主 机 为 例 
[root@www conf]# sed -n '10, 17p' nginx.conf 
#<== 打 印 www .etiantian.org 虚 拟 主 机 配置 内 容 
server { 
listen 80; 
server name www.etiantian.org; 
location / { 
root html/www; 
index jindex.html index.htm; 
} 
} 
[root@www conf]# sed -n '10, 17p' nginx.conf >extra/www.conf 
#<== 把 www .etiantian.org 虚 拟 主 机 配置 内 容 写 入 extra/www.conf 
[root@www conf]# sed -n '18, 25p' nginx.conf 
#<== 打 印 bbs .etiantian.org 虚 拟 主机 配置 内 容 
server { 
listen 80; 
server name bbs.etiantian.org; 
location / { 
root html/bbs; 
index index.html index.htm; 
} 
} 
[root@www conf]# sed -n '18, 25p' nginx.conf >extra/bbs.conf 
#<== 把 Dbs .etiantian.org 虚 拟 主机 配置 内 容 写 入 extra/bbs.conf 
[root@www conf]# sed -n '26, 33p' nginx.conf 
#<== 打 印 Dlog.etiantian.org 虚 拟 主 机 配置 内 容 
server { 
listen 80; 
server name blog.etiantian.org; 
location / { 
Foot html/blog; 
index index.html index.htm; 
} 


[root@www conf]# sed -n '26, 33p' nginx.conf >extra/blog.conf 
#<== 把 Blog.etiantian.org 虚 拟 主机 配置 内 容 写 入 extra/blog.conf 


删除 主 配置 文件 nginx.conf 中 所 有 虚拟 主机 的 配置 (包含 server0 标 签 ) ， 这 里 是 10 到 33 行 的 内 容 ， 需 要 提前 查 好 行 号 ， 打 印 确认 无 误 后 再 删除 。 


[root@www conf]# sed -i '10, 33d' nginx.conf 
[root@www conf]# cat nginx.conf 
worker processes 1; 
events { 
worker connections 1024; 


} 


http { 
include mime.types; 
default type application/octet-stream; 
sendfile on; 


keepalive timeout 65; 


把 虚拟 主机 独立 配置 文件 www.conf、bbs.conf、blog.conf 的 信息 包含 到 nginx.conf 里 ， 这 样 就 把 主 配置 和 各 个 虚拟 主机 配置 分 离 了 ， 具 体 包 含 的 配置 内 容 如 下 : 


include extra/www.conf; 
include extra/bbs.conf; 
include extra/blog.conf; 


快速 操作 的 过 程 如 下 。 


1) 操作 前 配置 文件 内 容 ， 命 令 如 下 : 


[root@www conf]# cat -n nginx.conf 
lworker processes 1; 


2events { 

3 worker connections 1024; 

3 

5 http { 

6 include mime.types; 

了 default type application/octet-stream; 
8 sendfile on; 

9 keepalive timeout 65; 

10} - 


2) 执行 下 面 的 插入 命令 。 


[root@www conf]# sed -i '10 i include extra/www.conf; \ninclude extra/bbs.conf; \ninclude extra/blog.conf; ' nginx.conf 


上 述 sed 插 入 命令 生效 的 结果 是 在 下 面 的 配置 中 增加 三 行 包含 虚拟 主机 文件 的 配置 : 


[root@www conf]# cat -n nginx.conf 
lworker processes 1; 


2events { 

3 worker connections 1024; 

4} 

Shttp { 

6 include mime.types; 

入 default type application/octet-stream; 
8 sendfile on; 

9 keepalive timeout 65; 


10include extra/www.conf; 
llinclude extra/bbs.conf; 
12include extra/blog.conf; 
13} 


食 提 示 : 手工 改 也 可 以 条， 呵呵 ! 不 过 sed 还 是 很 高 大 上 的 命令 ， 要 会 用 才 行 。 


加 载 配置 ， 并 测试 更 改 后 的 结果 。 


[root@www conf]# http://www.hzcourse.corV/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../sbin/nginx -t 
nginx: the configuration file /application/nginx-1.6.3/conf/nginx.conf syntax is ok 

nginx: configuration file /application/nginx-1.6.3/conf/nginx.conf test is successful 

[root@www conf]# http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/../sbin/nginx -s reload 
[root@www conf]# tail -1 /etc/hosts 

10.0.0.8 www.etiantian.org bbs.etiantian.org blog.etiantian.org 

[root@www conf]# curl www.etiantian.org 

http: //www.etiantian.org 

[root@www conf]# curl bbs.etiantian.org 

http: //bbs.etiantian.org 

[root@www conf]# curl blog.etiantian.org 

http: //blog.etiantian.org 


优化 Nginx 配 置 文件 后 进行 网 站 访问 ， 一 切 正常 ! 


通过 在 主 配置 文件 中 加 上 include 包 含 的 配置 ， 可 以 让 Nginx 的 配置 更 加 简单 、 清 晰 、 规 范 。 修 改 后 的 最 终 配置 文件 的 内 容 如 下 : 


[root@www conf]# cat -n nginx.conf 
lworker processes 1; 


2events { 

3 worker connections 1024; 

4} 

Shttp { 

6 include mime .types; 

党 default type application/octet-stream; 
8 sendfile on; 

9 keepalive timeout 65; 


1l0include extra/www.conf; 
11include extra/bbs.conf; 
12include extra/blog.conf; 


13} 
[root@www conf]# tree extra/ 
extra/ | bbs .conf | blog.conf -一 www.conf 


0 directories, 3 files 
[root@www conf]# cat extra/www.conf 
server { 
listen 80; 
server name www.etiantian.org; 
location / { 
root html/www; 
index index.html index.htm; 
} 
} 
[root@www conf]# cat extra/bbs.conf 
server { 
listen 80; 
server name bbs.etiantian.org; 
location / { 
root html/bbs; 
index index.html index.htm; 
} 
i 
[root@www conf]# cat extra/blog.conf 
server { 
listen 80; 
server name blog.etiantian.org; 
location / { 
root html/blog; 
index index.html index.htm; 


如 果 需 要 新 增 虚 拟 主 机 站 点 ， 可 以 按照 上 述 配 置 步 骤 在 extra 下 创建 新 的 虚拟 主机 文件 ， 然 后 在 主 配 置 文件 nginx.conf 中 包含 在 extra 下 创建 的 新 虚拟 主机 文件 。 


如 果 虚 拟 主机 数量 过 多 ， 也 可 以 按 业 务 分 类 ， 例 如 将 几 个 同业 务 的 虚拟 主机 配置 放 到 一 个 文件 里 ， 这 样 不 至 于 因 虚 拟 主机 太 多 而 导致 很 零碎 ， 一 切 都 可 以 灵活 地 调整 。 运 维 思 想 很 关键 ， 机 器 是 死 的 ， 
人 是 活 的 ， 要 学 会 多 变通 才 好 。 


[由 参考 自 : http://nginx.org/en/docs/ngx_core_module.html#include。 


5.7 ”Nginx 访 问 日 志 (access log) 


5.7.1 ”Nginx 访 间 日 志 介 绍 


Nginx 软 件 会 把 每 个 用 户 访问 网 站 的 日 志 信息 记录 到 指定 的 日 志文 件 里 ， 供 网 站 提供 者 分 析 用 户 的 浏览 行为 等 ， 此 功能 由 ngx_http_ log_module 模 块 负责 。 对 应 的 官方 地 址 
为 : http://nginx.org/en/docs/http/ngx_http_log_module.html。 


5.8 Nginx location 


5.8.1 location 作 用 


回 


location 指 令 的 作用 是 根据 用 户 请 求 的 URI 来 执行 不 同 的 应 用 。URI 的 知识 前 面 章节 已 经 讲解 过 ， 其 实 就 是 根据 用 户 请 求 的 网 站 地 址 URL 进 行 匹配 ， 匹 配 成 功 即 进行 相关 的 操作 。 


下 面 是 官方 提供 的 常见 的 location 匹 配 语法 。 


5.9 Nginx rewrite 


5.9.1 什么 是 Nginx rewrite? 


和 Apache 等 Web 服 务 软 件 一 样 ，Nginx rewrite 的 主要 功能 也 是 实现 URL 地 址 重 写 。Nginx 的 rewrite 规 则 需要 PCRE 软 件 的 支持 ， 即 通过 Per| 兼 容 正 则 表达 式 语 法 进行 规则 匹配 。 前 文 在 安装 Nginx 软 件 
时 就 已 经 安装 了 这 个 PCRE 软 件 ， 同 时 也 让 Nginx 支 持 了 rewrite 的 功能 ， 默 认 参 数 编译 时 ，Nginx 就 会 安装 支持 rewrite 的 模块 ， 但 是 ， 也 必须 要 有 PCRE 软 件 的 支持 。 


5.10 ”Nginx 访 问 认 证 


有 时 ， 在 实际 工作 企业 要 求 我 们 为 网 站 设置 访问 账号 和 密码 权限 ， 这 样 操 作 后 ， 只 有 拥有 账号 密码 的 用 户 才 可 以 访问 网 站 内 容 ， 访 问 验 证 效果 如 图 5-17 所 示 。 


囊 轨 进行 导 份 答 让 


服务 器 http:/iwww.etiantian.org:280 要 求 用 户 娘 六 用 户 名 和 
密码 。 服 务 高 提示 : oldboy tralning。 


用 户 名 : 


图 5-17 Nginx 身 份 验证 窗口 


这 种 使 用 账号 密码 才 可 以 访问 网 站 的 功能 主要 应 用 在 企业 内 部 人 员 访 问 的 地 址 上 ， 例 如 : 企业 网 站 后 台 、MySQL 客 户 端 phpmyadmin、 企 业内 部 的 CRM、WIKI 网 站 平台 等 。 下 面 介绍 一 个 配置 示例 : 


location / { 
auth basic "closed site"; 
auth basic user file conf/htpasswd; 


} 


其 中 ， 有 两 个 参数 需要 说 明 。 
'， auth_basic 
语法 : auth_basic string|off; 


默认 值 : auth_basic off; 


使 用 位 置 : http、server、location、limit_ except 
:auth_basic_uset_file 
语法 : auth_basic_user file file; 


默认 值 : 一 


使 用 位 置 : http、server、location、limit_ except 


auth_basic_user file 参 数 后 接 认证 密码 文件 ，file 的 内 容 如 下 : 


# comment 

namel: passwordl 

name2: password2: comment 
name3: password3 


囊 


可 以 使 用 Apache 自 带 的 “htpasswd” 或 “openssl passwd” 命令 设置 用 户 和 密码 到 认证 文件 里 ， 注 意 ， 密 码 是 加 密 的 。 相 关内 容 见 
: http://nginx.org/en/docs/http/ngx_http_auth_basic module.html 


下 面 进行 配置 实战 。 选 择 一 个 虚拟 主机 配置 在 server 标 签 里 ， 配 置 内 容 如 下 : 


auth basic "oldqboy training"; 
auth basic user file /application/nginx/conf/htpasswd; 


加 ;说 : /application/nginx/conf/ 是 认证 文件 路 径 ，htpasswd 是 存放 账号 及 密码 的 文件 。 


www 虚 拟 主 机 的 位 置 配置 如 下 : 


[root@www extral# cat www.conf 
#www virtualhost by oldboy 
server { 
listen 80; 
server name www.etiantian.org etiantian.org; 
location / { 
root html/www; 
index index.html index.htm; 
auth basic "oldboy training"; 
auth basic user file /application/nginx/conf/htpasswd; 
} 
access_ 1og logs/access www.log main gzip buffer=32k flush=5s; 


@ 

: auth_basic “oldboy training"; 用 于 设置 认证 提示 字符 串 "oldboy training"。 

“ auth_basic_user_file/application/nginx/conf/htpasswd; 用 于 设置 认证 的 密码 文件 ， 即 用 户 输入 账户 密码 后 ，Nginx 会 到 这 个 文件 中 对 比 用 户 的 输入 是 否 正确 ， 进 而 决定 是 否 允 许 用 户 访问 网 站 。 
生成 认证 账号 和 密码 的 步骤 如 下 。 


1) 获取 htpasswd 设 置 账号 和 密码 ， 命 令 如 下 : 


/usr/bin/which: no htpasswd in (/usr/local/sbin: /usr/local/bin: /sbin: /bin: /usr/sbin: /usr/bin: /root/bin) 
[root@www extra]# yum install httpd -y 

[root@www extra]# which htpasswd 

/usr/bin/htpasswd 


2) 创建 账号 密码 ， 此 账号 密码 就 是 用 户 访问 网 站 时 需要 输入 的 。 


操作 命令 如 下 : 


htpasswd -bc /application/nginx/conf/htpasswd oldboy 123456 
chmod 400 /application/nginx/conf/htpasswd 
chown nginx /application/nginx/conf/htpasswd 


操作 过 程 如 下 : 


[root@www extra]# htpasswd -bc /application/nginx/conf/htpasswd oldboy 123456 
Adding password for user oldboy 

[root@www extra]# chmod 400 /application/nginx/conf/htpasswd 

[root@www extra]# chown nginx /application/nginx/conf/htpasswd 

[root@www extra]# cat /application/nginx/conf/htpasswd 

oldboy: HWSXCFixaoiZ6 #<== 看 到 了 吧 ， 密 码 是 加 密 的 。 


3) 重新 加 载 Nginx 使 配置 修改 生效 ， 命 令 如 下 : 


/application/nginx/sbin/nginx -t 
/application/nginx/sbin/nginx -s relaod 


4) 进行 浏览 器 访问 测试 ， 见 图 5-18。 


根据 提示 输入 账号 密码 后 回 车 ， 如 图 5-19 所 示 。 


验证 后 可 以 访问 到 网 站 内 容 ， 如 图 5-20 所 示 。 


如 果 密 码 不 对 就 不 能 访问 网 站 内 容 ， 而 是 提示 重新 输入 账号 密码 ， 超 过 指定 的 次 数 或 放弃 密码 验证 时 会 给 出 如 图 5-21 所 示 的 报错 信息 。 


融雪 进行 身份 验 让 


服务 器 http:/fwww.etiantian.org:80 要 求 用 户 输 入 用 户 名 和 
密码 。 服 务 祷 提 趟 : : oldboy tralning。 


喜人 抱 : 


oR || my | 


图 5-18 最终 Nginx 身 份 验 证 窗口 


堵 要 进行 身份 验 直 


服务 器 http://www.etiantian.org:80 要 求 用 户 输 人 用户 名 和 
密码。 服务 器 提示 : oldboy tralning。 


用 户 和 名: oldboy 


5-19 ”输入 账号 及 密码 


http:/ ww etiantian org 


5-20 ”通过 验证 后 的 浏览 器 内 容 


401 Authorization Required 


nginx/l1. 6.2 


5-21 未 通过 验证 的 浏览 器 报错 


5.11 ”Nginx 相 关 问 题 的 解答 


问题 1: Tengine 和 Nginx 是 什么 关系 


Tengine 是 淘宝 开源 Nginx 的 分 支 ， 官 方 站 点 为 http://tengine.taobao.org/。 


问题 2: 说 明 访问 Nginx 时 出 现状 态 码 “403 forbidden” 的 原因 。 


原因 之 一 是 Nginx 配 置 文件 里 没有 配置 默认 首页 参数 ， 或 者 首页 文件 在 站 点 目录 下 没有 如 下 内 容 : 


index index.php index.html index.htm; 


问题 模拟 示例 如 下 : 


[root@www extra]# cat www.conf 
#www virtualhost by oldboy 
server { 
listen 80; 
server name www.etiantian.org; 
location / { 
root html/www; 
#index index.html index.htm; #<== 注 释 首页 文件 配置 


} 
access log off; 


[root@www extra]# http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../http://www.hzcourse.com/resource/readBook?path=/ope 
[root@www extra]# tail -1 /etc/hosts 

10.0.0.8 www.etiantian.org bbs.etiantian.org blog.etiantian.org etiantian.org 

[root@www extra]# 11 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../http://www.hzcourse.com/resource/readBook?path=/ 
drwxr-xr-x 2 root root 4096 4 月 15 14: 20 blog 

-rw-r--r-~ 1 root root 4 4 月 17 17: 11 index.html #<== 存 在 首页 文件 

drwxr-xr-x 2 root root 4096 4 月 15 14: 19 oldboy 

[root@www extral]# curl -I -s 10.0.0.8|head -1 

HTTP/1.1 403 Forbidden #<==Nginx 没 有 指定 首页 文件 的 参数 ， 因 此 访问 Nginx 时 不 会 把 index.html 当成 首页 ， 所 以 报 403 错 误 


原因 之 二 是 站 点 目录 下 没有 配置 文件 里 指定 的 首页 文件 如 下 。 


[root@www extra]# cat www.conf 
#www virtualhost by oldboy 
server { 
listen 80; 
server name www.etiantian.org; 
location / { 
root html/www; 
index index.html index.htm; #<== 配 置 首页 文件 配置 
} 
access_ log off; 


} 
[root@www extra]# http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../http://www.hzcourse.com/resource/readBook?path=/ope 


[root@www extra]# rm -f http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../http://www.hzcourse.com/resource/readBook?pat 
[root@www extral]# curl -I -s 10.0.0.8|head -1 
HTTP/1.1 403 Forbidden 


若是 因 以 上 两 个 出 现 的 问题 ， 可 以 通过 一 个 参数 来 解决 ， 命 令 如 下 : 


autoindex on; 
[root@www extra]# cat www.conf 
#www virtualhost by oldboy 
server { 
listen 805 
server name www.etiantian.org; 
location / { 
root html/www; 
autoindex on; #<== 当 找 不 到 首页 文件 时 ， 会 展示 目录 结构 ， 这 个 功能 一 
般 不 要 用 ， 除 非 有 需求 
} 
access log off; 


其 效果 如 图 5-22 所 示 。 


原因 之 三 是 站 点 目录 或 内 部 的 程序 文件 没有 Nginx 用 户 访问 权限 ， 如 下 : 


echo test > http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../http://www.hzcourse.com/resource/readBc 
chmod 700 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../http://www.hzcourse.com/resource/readBook 


#<== 设 置 700 让 nginx 用 户 无 权 读 取 
ls -1 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/../http://www.hzcourse.com/resource/readBook?pat 


[root@www extral]# 
[root@www extral]# 


[root@www extral]# 


一 ZW 一- 一 1 root root 5 4 月 17 17: 15 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/O0EBPS/Text/../http://www.hzcourse.com/resou: 
[root@www extra]# curl -I -s 10.0.0.8|head -1 
HTTP/1.1 403 Forbidden #<==403 错 误 


[root@www extra]# chmod 755 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/O0EBPS/Text/../http://www.hzcourse.com/resource/readBook 
#<== 设 置 755 让 nginx 用 户 有 权 读 取 

[root@www extra]# curl -I -s 10.0.0.8|head -1 

HTTP/1.1 200 OK 00 OK 了 


< ee 上 1000.8 


Index of / 


A 
blog, 15-2pr—2015 O08:20 


uldbow 15-Apr—2015 O08:19 


5-22 页 面 效 果 


原因 之 四 是 Nginx 配 置 文件 中 设置 了 allow、deny 等 权限 控制 ， 导 致 客户 端 没有 访问 权限 ， 如 下 : 


[root@www extra]# cat www.conf 


#www virtualhost by oldboy 
server { 

listen 80; 

server name www.etiantian.org; 

location / { 
root html/www; 
index index.html index.htm; 
allow 192.168.1.0/24; 
deny all; 

} 

access log off; 


} 
[root@www extral]# curl -I -s 10.0.0.8|head -1 
HTTP/1.1 200 OK #<== 设 置 755 让 nginx 用 户 有 权 读 取 
[root@www extra]# http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../http://www.hzcourse.com/resource/readBook?path=/ope 
[root@www extral]# curl -I -s 10.0.0.8|head -1 加 
HTTP/1.1 403 Forbidden 


@ 提 示 : 上 述 出 现 403 错 误 的 原因 并 不 是 Nginx 才 有 的 ，Apache 服 务 的 Forbidden 403 问 题 同 样 也 是 这 几 个 原因 导致 的 ， 只 是 参数 细节 略 有 区 别 而 已 ， 相 关 资料 请 
见 http://oldboy.blog.51cto.com/2561410/581383。 


5.12 ”本 章 重点 回顾 


Nginx 的 特性 优点 。 

2) 主流 Web 动 态 静 态 性 能 对 比 。 

3) Apache select 和 Nginx epoll 模 型 的 区 别 (面试 常 考 ) 。 
4) 虚拟 主机 概念 及 类 型 分 类 详解 。 

5) 基于 域名 和 端口 虚拟 主机 的 介绍 及 搭建 。 


6) Nginx 错 误 、 访 问 日 志 ， 以 及 访问 日 志 切 割 。 


1 


Nginx 访 问 状态 信息 介绍 及 配置 实践 。 
8) Nginx location 介 绍 及 配置 实践 。 
9) Nginx rewtite 介 绍 及 配置 实践 。 


10) Nginx Web 访 问 认 证 介绍 及 配置 实践 。 
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6.1 LNMP 应 用 环境 


6.1.1 LNMP 介 绍 


大 约 在 2010 年 以 前 ， 互 联网 公司 最 常用 的 经 典 Web 服 务 环境 组 合 就 是 LAMP ( 即 Linux、Apache、MySQL、PHP) ， 近 几 年 随 着 Nginx Web 服 务 的 逐渐 流行 ， 又 出 现 了 新 的 Web 服 务 环 境 组 合 一 一 
LNMP 或 LEMP， 其 中 LNMP 为 Linux、Nginx、MySQL、PHP 等 首 字 母 的 缩写 ， 而 LEMP 中 的 E 则 表示 Nginx， 它 取 自 Nginx 名 字 的 发 音 (engine x) 。 现 在 ，LNMP 已 经 逐渐 成 为 国内 大 中 型 互联 网 公司 网 
站 的 主流 组 合 环境 ， 因 此 ， 我 们 必须 熟练 掌握 LNMP 环 境 的 搭建 、 优 化 及 维护 方法 。 
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站 的 主流 组 合 环境 ， 因 此 ， 我 们 必须 熟练 掌握 LNMP 环 境 的 搭建 、 优 化 及 维护 方法 。 


6.2 LNMP 之 MySQl 数 据 库 


6.2.1 MySQL 数据 库 介绍 


MySQL 是 互联 网 领域 里 非常 重要 的 、 深 受 广大 用 户 欢迎 的 一 款 开 源 关系 型 数据 库 软 件 ， 由 瑞典 MySQL AB 公 司 开发 与 维护 。2006 年 ，MySQL AB 公 司 被 SUN 公 司 收购 ，2008 年 ，SUN 公 司 又 被 传统 数 
据 数据 库 领 域 大 佬 甲骨 文 (Oracle) 公司 收购 。 因 此 ，MySQl 数 据 库 软件 目前 属于 Oracle 公 司 ， 但 仍 是 开源 的 ，Oracle 公 司 收购 MySQL 的 战略 意图 显而易见 ， 其 自身 的 Oracle 数 据 库 继续 服务 于 传统 大 中 
型 企业 ， 而 利用 收购 的 MySQL 抢 占 互联 网 领域 数据 库 份额 ， 完 成 其 战略 布局 。 


MySQL 是 一 种 关系 型 数据 库 管理 软件 ， 关 系 型 数据 库 的 特点 是 将 数据 保存 在 不 同 的 二 维 表 中 ， 并 且 将 这 些 表 放 入 不 同 的 数据 库 中 ， 而 不 是 把 所 有 数据 统一 放 在 一 个 大 仓库 里 ， 这 样 的 设计 增加 了 
MySQL 的 读 取 速度 ， 灵 活性 和 可 管理 性 也 得 到 了 很 大 提高 。 访 问 及 管理 MySQL 数 据 库 的 最 常用 标准 化 语言 为 SQL 结 构 化 查询 语言 。 


6.3 ”FastCGI 介 绍 


6.3.1 什么 是 CGI 


CGI 的 全 称 为 “通用 网 关 接 口 ” (Common Gateway Interface) ， 为 HTTP 服 务 器 与 其 他 机 器 上 的 程序 服务 通信 交流 的 一 种 工具 ，CGI 程 序 须 运 行 在 网 络 服务 器 上 。 


传统 CGI 接口 方式 的 主要 缺点 是 性 能 较 差 ， 因 为 每 次 HTTP 服 务 器 遇 到 动态 程序 时 都 需要 重新 启动 解析 器 来 执行 解析 ， 之 后 结果 才 会 被 返回 给 HTTP 服 务 器 。 这 在 处 理 高 并 发 访问 时 几乎 是 不 可 用 的 ， 因 
此 就 诞生 了 FastCGI。 另 外 ， 传 统 的 CGI 接口 方式 安全 性 也 很 差 ， 故 而 现在 已 经 很 少 被 使 用 了 。 


6.4 LNMP 之 PHP (FastCG| 方 式 ) 服务 的 安装 准备 


6.4.1 检查 Nginx 及 MySQL 的 安装 博 况 


1) 检查 确认 Nginx 及 MySQL 的 安装 路 径 ， 命 令 如 下 : 


[root@www mysql]# 1s -ld /application/mysql/ 
drwxr-xr-x 13 root root 4096 Apr 22 15: 32 /application/mysql/ 
[root@www mysql]# 1s -ld /application/nginx/ 
drwxr-xr-x 11 root root 4096 Apr 6 15: 34 /application/nginx/ 


2) 检查 端口 及 启动 情况 ， 命 令 如 下 : 


[root@www mysql]# netstat -lntuplgrep -E "80|3306" 
tcp 0 0 0.0.0.0: 3306 D0.0.05 * LISTEN 9446/mysqld 
tcP 0 0 0.0.0.0: 80 O00.08 二 LISTEN 3881/nginx 


3) 测试 访问 Nginx 及 MySQL 是 否 OK， 命令 如 下 : 


a. 测 试 nginx 

[root@www /]# wget 127.0.0.1 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/.. .省 略 部 分 http://www.hzcourse.com/resource/readBook?path=/openresources/ 
Saving to: “index.html' a 


100% [一 一- 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 ->] 24  --.-K/s in 0s 
2012-04-07 22: 14: 19 (1.17 MB/s) - ‘index.html' saved [24/24] 
Pb. 测 试 mnysql 


[root@www mysql]# mysql -uroot -p 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or \g. 

Your MySQL connection id is 5 

Server version: 5.5.32 MySQL Community Server (GPL) 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/.. .省 略 部 分 http://www.hzcourse.com/resource/readBook?path=/openresources/ 
Type 'help; ' or '\h' for help. Type '\c' to clear the current input statement. 

mysql> 


如 果 访 问 结果 和 上 述 操作 结果 一 致 ， 就 表明 Nginx 及 MySQL 的 安装 一 切 正常 。 


6.5 ”开始 安装 PHP (FastCG| 方 式 ) 服务 


6.5.1 获取 PHP 软 件 包 


我 们 可 以 使 用 wget 方 式 下 载 PHP 软 件 包 ， 也 可 以 下 载 到 本 地 计算 机 ， 再 上 传 到 Linux 中 ， 这 里 以 本 地 下 载 后 上 传 到 Linux 系 统 为 例 进行 讲解 。 


下 面 使 用 rz 命令 ， 通 过 php-5.3.27.tar.gz 本 地 上 传 ， 当 然 也 可 以 去 网 上 下 载 ， 地 址 为 : http://cn.php.net。 


[root@www tools]# cd /home/oldboy/tools 
[root@www tools]# rz -y 


Linux 下 的 下 载 命令 为 : 


wget http: //cn.php.net/get/php-5.3.27.tar.gz/from/cn2.php.net/mirror 
wget http: //cn2.php.net/get/php-5.3.27.tar.gz/from/this/mirror 


6.6 ”配置 Nginx 支 持 PHP 程 序 请 求 访问 


6.6.1 修改 Nginx 配 置 文件 


此 处 的 环境 为 前 文安 装 的 Nginx 环 境 ， 可 按照 如 下 步骤 编辑 Nginx 的 主 配置 文件 nginx.conf。 


1) 查看 Nginx 当 前 的 配置 ， 命 令 如 下 : 


[root@www etc]# cd /application/nginx/conf/ 
[root@www conf]# cp nginx.conf nginx.conf.02 
[root@www conf]# cat nginx.conf 
worker processes 1; 
error lJog logs/error.1og; 
events { 

worker connections 1024; 


} 
http { 
include mime.types; 
default type application/octet-stream; 
log format main '$remote addr 一 S$remote user [$time local] "$request"™" ' 
'$status $body bytes sent "$http referer™" ' 
'"$http user agent" ™$http x forwarded for"™'; 
sendfile on; 
keepalive timeout 65; 
include extra/www.conf; 
include extra/bbs.conf; 
include extra/blog.conf; 
include extra/status.conf; 
} 


2) PHP 解 析 ， 这 里 以 blog 为 例 讲解 ， 内 容 如 下 : 


[root@www conf]# cat extra/blog.conf 
server { 
listen 80; 
server name blog.etiantian.org; 
location / { 
root html/blog; 
index index.html index.htm; 


} 
if ( $http host ~* "^ (.*) \.etiantian\.org$") { 
set $domain $1; 
rewrite ^(.*) http: //www.etiantian.org/$domain/oldboy.html break; 
} 


最 终 blog 虚 拟 主 机 的 完整 配置 如 下 : 


[root@www conf]# cat extra/blog.conf 
server { 
listen 80; 
server name blog.etiantian.org; 
location / { 
root html/blog; 
index index.html index.htm; 
} 
location ~ .*\. (phplphp5) $ { 
root html/blog; #<== 这 里 配置 如 果 不 好 ， 很 容易 出 现 404 错 误 ， 此 处 也 
可 以 把 两 个 location 里 的 root html/blog; 
合成 一 个 ， 然 后 放 到 两 个 location 的 外 面 
fastcgi pass 127.0.0.1: 9000; 
fastcgi index index.php; 
include fastcgi.conf; 


6.7 ”部署 一 个 blog 程 序 服 务 


6.7.1 ”开源 博客 程序 WordPress 介 绍 


WordPress 是 一 套利 用 PHP 语 言 和 MySQL 数 据 库 开发 的 开源 免费 的 blog (博客 ， 网 站 ) 程序 ， 用 户 可 以 在 支持 PHP 环 境 和 MySQL 数 据 库 的 服务 器 上 建立 blog 站 点 。 它 的 功能 非常 强大 ， 拥 有 众多 插 
件 ， 易 于 扩充 功能 。 其 安装 和 使 用 也 都 非常 方便 。 目 前 WordPress 已 经 成 为 搭建 blog 平 台 的 主流 ， 很 多 发 布 平台 都 是 根据 WordPress 二 次 开发 的 ， 如 果 你 也 想像 他 们 一 样 拥有 自己 的 blog， 可 购买 网 上 的 域 
名 及 空间 ， 然 后 搭建 LNMP 环 境 ， 部 署 WordPress 程 序 后 就 可 以 轻松 成 就 自己 的 梦想 了 。 


Ot 辣 : WordPress 是 单 用 户 个 人 博客 ， 与 blog.51cto.com 的 多 用 户 博客 是 有 区 别 的 。 


6.8 有关 使 用 高 版 本 PHP 5.5 的 说 明 


考虑 到 本 书 的 部 分 读者 可 能 希望 使 用 更 高 版 本 的 PHP 软 件 ， 本 节 给 出 了 PHP 5.5.26 的 config 配 置 编译 参数 ， 在 PHP 5.3.27 和 PHP 5.5.26 中 ， 除 了 编译 参数 略 有 区 别 外 ， 其 他 运 维 方面 的 使 用 几乎 是 一 样 
的 。 下 面 是 PHP 5.5.26 的 config 配 置 编译 参数 : 


./configure \ 
—-prefix=/application/php5.5.26 \ 
--with-mysql=/application/mysql/ \ 
--with-pdo-mysql=mysqlnd \ 
—-with-iconv-dir=/usr/local/libiconv \ 
-with-freetype-dir \ 
--with-jpeg-dir \ 

--with-png-dir \ 

-with-zlib \ 
-—-with-libxml-dir=/usr \ 
--enable-xml \ 

--disable-rpath \ 

--enable-bcmath \ 

--enable-shmop \ 

—-enable-sysvsem \ 
--enable-inline-optimization \ 
—-with-curl \ 

--enable-mbregex \ 

--enable-fpm \ 

=--enable-mbstring \ 


--with-mcrypt \ 
--with-gd \ 
--enable-gd-native-ttf \ 
=--with-openss1 \ 
--with-mhash \ 
--enable-pcntl \ 
--enable-sockets \ 
—-with-xmlrpc \ 
--enable-soap \ 
--enable-short-tags \ 
--enable-static \ 
—-with-xsl \ 
—-with-fpm-user=nginx \ 
=--with-fpm-group=nginx \ 
--enable-ftp \ 
—-enable-opcache=no 
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本 章 重点 回顾 


1) LNMP 的 组 合 中 各 组 件 工作 调度 逻辑 关系 。 


2) Nginx 与 PHP 通 过 FastCGI 模 式 通 信 的 原理 。 


3) LNMP 环 境 的 企业 级 搭建 。 


4) WordPress 博 客 程序 的 安装 搭建 。 
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本 章 参 考 资料 


“ Nginx 官 方 网 站 : http://nginx.org 


“PHP 官方 网 站 : http://php.net 


“MySQL 官方 网 站 : http://mysql.com 
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PHP 缓 存 加 速 器 介绍 与 环境 准备 


PHP 缓 存 加 速 器 介绍 


1. 操 作 码 介绍 及 缓存 原理 


当 客 户 端 请 求 一 个 PHP 程 序 时 ， 服 务 器 的 PHP 引 警 会 解析 该 PHP 程 序 ， 并 将 其 编译 为 特定 的 操作 码 (Operate Code， 简 称 opcode) 文件 ， 该 文件 是 执行 PHP 代 码 后 的 一 种 二 进 制 表示 形式 。 默 认 情况 
下 ， 这 个 编译 好 的 操作 码 文件 由 PHP 引 擎 执行 后 丢弃 。 而 操作 码 缓存 (Opcode Cache) 的 原理 就 是 将 编译 后 的 操作 码 保存 下 来 ， 并 放 到 共享 内 存 里 ， 以 便 在 下 一 次 调用 该 PHP 页 面 时 重用 它 ， 避 免 了 相同 


代码 的 


2.P 


复 编译 ， 节 省 了 PHP 引 擎 本 


HP 缓存 加 速 软件 介绍 


复 编译 的 时 间 ， 降 低 了 服务 器 负载 ， 同 时 减少 了 CPU 和 内 存 开销 。 


为 了 提高 PHP 引 警 的 高 并 发 访问 及 执行 速度 ， 产 生 了 一 系列 PHP 缓 存 加 速 软件 。 这 些 软件 设计 的 目的 就 是 缓存 前 文 提 到 的 PHP 引 擎 解析 过 的 操作 码 文件 ， 以 便 在 指定 时 间 内 有 相同 的 PHP 程 序 请 求 访问 


7.1 


人 人 


时 ， 不 再 需要 重复 解析 编译 ， 而 是 直接 调用 缓存 中 的 PHP 操 作 码 文件 ， 这 样 就 提高 了 动态 Web 服 务 的 处 理 速度 ， 从 而 提升 了 


户 访问 企业 网 站 的 整体 体验 。 
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代码 的 


2.P 


复 编译 ， 节 省 了 PHP 引 擎 本 
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复 编译 的 时 间 ， 降 低 了 服务 器 负载 ， 同 时 减少 了 CPU 和 内 存 开 销 。 


为 了 提高 PHP 引 警 的 高 并 发 访问 及 执行 速度 ， 产 生 了 一 系列 PHP 缓 存 加 速 软件 。 这 些 软件 设计 的 目的 就 是 缓存 前 文 提 到 的 PHP 引 擎 解析 过 的 操作 码 文件 ， 以 便 在 指定 时 间 内 有 相同 的 PHP 程 序 请 求 访问 
时 ， 不 再 需要 重复 解析 编译 ， 而 是 直接 调用 缓存 中 的 PHP 操 作 码 文件 ， 这 样 就 提高 了 动态 Web 服 务 的 处 理 速 度 ， 从 而 提升 了 用 户 访问 企业 网 站 的 整体 体验 。 


7.2 安装 PHP 缓 存 加 速 器 扩展 


7.2.1 安装 PHP eAccelerator 缓 存 加 速 模块 


1.eAccelerator 缓 存 加速 插 件 说 明 


eAccelerator 是 一 个 免费 的 、 开 放 源 代码 的 PHP 加 速 、 优 化 及 缓存 的 扩展 插件 软件 ， 它 可 以 缓存 PHP 程 序 编译 后 的 中 间 代 码 文件 (opcode) 、session 数 据 等 ， 降 低 PHP 程 序 在 编译 解析 时 对 服务 器 的 
性 能 开销 。eAccelerator 还 可 以 加 快 PHP 程 序 的 执行 速度 ， 降 低 服务 器 负载 压力 ， 使 PHP 程 序 代码 执行 效率 提高 1~10 倍 。 


eAccelerator 会 把 编译 好 的 PHP 程 序 存放 在 共享 内 存 里 ， 然 后 每 次 从 内 存 里 调用 执行 ， 可 以 设 定 把 一 些 不 适合 放 在 内 存 里 缓存 的 编译 结果 存储 到 磁盘 上 ， 默 认 情 况 下 ， 磁 盘 和 内 存 缓存 都 会 被 


eAccelerator 使 用 。 


eAccelerator 诞 生 于 2004 年 ， 前 身 是 Turck MMCache， 因 为 开发 者 进入 了 Zend 公 司 工作 ， 所 以 开发 eAccelerator 的 人 继承 了 Turck MMCache 的 一 些 特性 ， 从 而 设计 出 了 eAccelerator 加 速 器 。 


eAccelerator 算 是 一 个 “老牌 ”的 缓存 加 速 软件 ， 曾 经 在 结合 PHP 引 擎 解析 时 被 广泛 使 用 ， 成 熟 稳 定 ， 目 前 代码 更 新 不 活跃 ， 因 此 ， 使 用 的 企业 逐渐 减少 ， 但 eAccelerator 仍 是 一 款 值得 信赖 的 缓存 加 
速 软件 。XCache 的 官方 也 称赞 eAccelerator 是 不 错 的 opcode 缓 存 器 。 


eAccelerator 的 最 新 版 为 0.9.6.1， 支 持 的 PHP 最 新 版 本 为 PHP 5.3 及 以 前 5 系列 的 版 本 。 
早期 的 0.9.5 版 本 支持 PHP 4 和 PHP 5.2 以 前 的 版 本 。 

eAccelerator 最 新 版 0.9.6.1 版 的 下 载 地 址 为 : 
https://github.com/eaccelerator/eaccelerator/downloads。 


2.eAccelerator 插 件 安装 过 程 


具体 的 安装 命令 集 如 下 : 


cd /home/oldboy/tools/ 

wget https: //github.com/downloads/eaccelerator/eaccelerator/eaccelerator-0.9.6.1.tar.bz2 

tar xf eaccelerator-0.9.6.1.tar.bz2 

cd eaccelerator-0.9.6.1 

/application/php/bin/phpize 

./configure ~--enable-eaccelerator=shared --with-php-config=/application/php/bin/php-config 

#<==configure 的 参数 路 径 要 正确 配置 ， 特 别 是 后 面 的 --with-php-config 参 数 对 应 的 PHP 安 装 目 录 地 址 ， 几 乎 所 有 的 PHP 扩 展 都 要 指定 这 个 参 元， 请 读者 注意 ， 后 面 不 再 提 及 
make 

make install 

cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 
1s /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 


安装 操作 详细 过 程 如 下 : 


root@www ~]# cd /home/oldboy/tools/ 

root@www tools]# wget https: //github.com/downloads/eaccelerator/eaccelerator/eaccelerator-0.9.6.1.tar.bz2 
root@www tools]# ls eaccelerator-0.9.6.1.tar.bz2 

eaccelerator-0.9.6.1.tar.bz2 

root@www tools]# tar xf eaccelerator-0.9.6.1.tar.bz2 

root@www tools]# cd eaccelerator-0.9.6.1 

root@www eaccelerator-0.9.6.1]# /application/php/bin/phpize 

Configuring for: 


PHP Api Version: 20090626 
Zend Module Api No: 20090626 
Zend Extension Api No: 220090626 


root@www eaccelerator-0.9.6.1]# ./configure --enable-eaccelerator=shared --with-php-config=/application/php/bin/php-config 

root@www eaccelerator-0.9.6.1]# make 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/...skiphttp://www.hzcourse.com/resource/readBook?path=/openresources/tes 
Build complete. 
Don't forget to run 'make test'. 
root@www eaccelerator-0.9.6.1]# make install 

Installing shared extensions: /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 

root@www eaccelerator-0.9.6.1]# 1s /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 

eaccelerator.so #<== 最 后 生成 了 eaccelerator.so 模 块 就 表示 eaccelerator 成 功 安装 

root@www eaccelerator-0.9.6.1]# cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/.. 


下 面 是 实践 得 出 的 注意 事项 及 说 明 : 
“ PHP 5.3.XX 可 用 eaccelerator-0.9.6 版 本 ， 如 果 使 用 0.9.5.2 版 本 在 make 阶 段 会 报错 : make: ***[optimize.lo]Error 1。 


PHP 5.2.XX 可 用 eaccelerator-0.9.5.2 版 本 。 


Oia: 上 述 测试 验证 了 eAccelerator 的 官方 说 明 ， 请 读者 选择 时 注意 。 


下 面 是 学 生 遇 到 的 问题 故障 。 


问题 : 出 现 Cannot find config.m4 .错误 。 


[root@www tools]# /application/php/bin/phpize 
Cannot find config.m4. 
Make sure that you run '/application/php/bin/phpize' in the top level source directory of the module 


解答 : 需要 切换 到 eaccelerator 路 径 下 执行 /application/php/bin/phpize。 


7.3 ”安装 数据 库 缓 存 及 其 他 PHP 扩 展 插件 


7.3.1 安装 PHP Memcached 扩 展 插件 


1.Memcached 缓 存 软件 说 明 


Memcached 是 一 个 开源 的 、 支 持 高 性 能 、 高 并 发 及 分 布 式 的 内 存 缓存 服务 软件 ， 从 名 称 上 看 ， 前 3 个 字符 的 单词 Mem 就 是 内 存 的 意思 ， 而 后 面 5 个 字符 的 单词 Cache 就 是 缓存 的 意思 ， 最 后 字符 d， 是 
daemon 的 意思 ， 表 示 服 务 器 端 进程 模式 服务 。 


Memcached 服 务 分 为 服务 器 端 和 客户 端 两 部 分 ， 其 中 ， 服 务 器 端 软 件 的 名 字形 如 Memcached-1.4.13.tar.gz， 客 户 端 软件 的 名 字形 如 Memcache-2.27.tar.gz。 


Memcached 诞 生 于 2003 年 ， 最 初 由 LivejJournal 的 Brad Fitzpatrick 开 发 完成 。Memcache 是 整个 项 目的 名 称 ， 而 Memcached 是 服务 器 端的 主 程序 名 ， 因 其 协议 简单 ， 且 支持 高 并 发 而 被 广泛 使 用 。 


在 传统 场景 下 ， 多 数 Web 应 用 都 将 数据 保存 到 RDBMS 中 ，www 服 务 器 从 中 读 取 数据 并 在 浏览 器 中 显示 。 但 随 着 数据 量 的 增 大 、 访 问 的 集中 ， 就 会 出 现 RDBMS 的 负担 加 重 、 数 据 库 响应 缓慢 、 网 站 打 
开 延 迟 等 问题 。 


这 时 就 需要 Memcached 了 。Memcached 是 高 性 能 的 分 布 式 内 存 缓存 服务 。 使 用 Memcached 的 主要 目的 是 ， 通 过 在 自身 内 存 中 缓存 数据 库 的 查询 结果 ， 减 少数 据 库 访 问 次 数 ， 以 提高 动态 Web 应 
的 速度 ， 提 高 网 站 架构 的 并 发 能 力 和 可 扩展 性 。 


Memcached 服 务 通 过 在 事先 规划 好 的 系统 内 存 空间 中 临时 缓存 数据 库 中 的 各 类 数据 ， 以 达到 减少 前 端 业务 对 数据 库 的 直接 高 并 发 访问 ， 从 而 提升 大 规模 网 站 集群 中 动态 服务 的 并 发 访问 能 力 。 


生产 场景 的 Memcached 服 务 一 般 被 用 来 保存 网 站 中 经 常 被 读 取 的 对 象 或 数据 ， 就 像 我 们 的 客户 端 浏览 器 把 经 常 访问 的 网 页 缓存 起 来 一 样 ， 通 过 内 存 缓存 来 存 取 对 象 或 数据 要 比 磁盘 存 取 快 很 多 ， 因 为 
磁盘 是 机 械 的 介质 ， 因 此 ， 在 当今 的 IT 企业 中 ，Memcached 的 应 用 范围 很 广 。 


图 7-3 是 Memcached 缓 存 架构 逻辑 图 。 
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图 7-3 LNMP 环 境 Memcached 客 户 端 缓存 工作 原理 逻辑 
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Memcached 服 务 的 工作 步骤 如 下 。 


第 一 步 : 程序 首先 检查 客户 端 请 求 的 数据 在 Memcached 服 务 的 缓存 中 是 否 存在 ， 如 果 存 在 ， 直 接 把 请 求 的 数据 返回 ， 不 再 请 求 后 端 数据 库 。 


第 二 步 : 如 果 请 求 的 数据 在 Memcached 缓 存 中 不 存在 ， 则 程序 会 去 Memcahced 后 端的 数据 库 服务 。 


第 三 步 : 把 从 数据 库 中 取 到 的 数据 返回 给 客户 端 。 


第 四 步 : 同时 把 新 取 到 的 数据 库 的 数据 缓存 一 份 到 Memcached 服 务 缓存 中 ， 下 次 同样 的 请 求 就 直接 从 Memcached 服 务 缓存 返回 数据 ， 从 而 减轻 数据 库 的 访问 压力 。 
2.Memcached 缓 存 PHP 扩 展 插 件 安装 


前 文 已 经 提 过 ，Memcached 分 为 服务 器 端 软件 和 客户 端 插件 两 部 分 ， 本 文 是 Memcached 客 户 端 PHP 的 扩展 插件 (memcache-2.2.7.tgz) 在 PHP 环 境 中 的 安装 ， 用 于 访问 Memcached 服 务 器 端 数 


PHP 的 Memcached 扩 展 插件 下 载 地 址 为 : http://pecl.php.net/package/memcache。 


PHP 的 Memcached 客 户 端 扩展 插件 安装 命令 集 如 下 : 


cd /home/oldboy/tools/ 

wget -q http: //pecl.php.net/get/memcache-2.2.7.tgz 

tar zxf memcache-2.2.7.tgz 

cd memcache-2.2.7 

/application/php/bin/phpize 

./configure --enable-memcache --with-php-config=/application/php/bin/php-config 

make 

make install 

cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 


如 果 安 装 的 是 memcache-2.2.4.tgz， 可 能 会 报错 : make: ***[memcache.lo]Error 1。 


解决 方法 为 使 用 如 下 命令 : 


cp memcache.1oT memcache .1o 


整个 操作 过 程 如 下 : 


root@www tools]# cd /home/oldboy/tools/ 

root@www tools]# wget -q http: //pecl.php.net/get/memcache-2.2.7.tgz 
root@www tools]# ls -1 memcache-2.2.7.tgz 

—rWw-r--r-- 1 root root 36459 Mar 30 15: 05 memcache-2.2.7.tgz 
root@www tools]# tar zxf memcache-2.2.7.tgz 

root@www tools]# cd memcache-2.2.7 

root@www memcache-2.2.7]# /application/php/bin/phpize 

Configuring for: 


PHP Api Version: 20090626 
Zend Module Api No: 20090626 
Zend Extension Api No: 220090626 


root@www memcache-2.2.7]# ./configure --enable-memcache --with-php-config=/application/php/bin/php-config 

root@www memcache-2.2.7]# make 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/O0EBPS/Text/...skiphttp://www.hzcourse.com/resource/readBook?path=/openresources/tea 
Build complete. 

Don't forget to run 'make test'. 

root@www memcache-2.2.7]# make install 

Installing shared extensions: /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 

root@www memcache-2.2.7]# cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/.. 
root@www tools]# 1s -1 /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 

total 1780 

—rWwxr-xr-x 1 root root 417069 May 1 12: 48 eaccelerator.so 

—rWwxr-xr-x 1 root root 246728 May 1 15: 51 memcache.so 

#<== 最 后 生成 了 memcache . so 模块 ， 表 示 mermcache 扩 展 插件 成 功 安装 

—rWxr-xr-x 1 root root 491814 May 1 15: 06 opcache.so 

—rWwxr-xr-x 1 root root 658468 May 1 14: 33 xcache.so 


7.4 ”安装 其 他 的 PHP 扩 展 插件 模块 


7.4.1 ”安装 图 像 处 理 程序 及 imagick 扩 展 模块 


1. 安 装 lImageMagick 图 像 软件 


lImageMagick 是 一 套 功 能 强大 、 稳 定 而 且 免 费 的 工具 集 和 开发 包 ， 可 以 用 来 读 、 写 和 处 理 超过 89 种 基本 格式 的 图 片 文件 ， 包 括 流行 的 tiff、jpeg、gif、png、pdf， 以 及 PhotoCD 等 。 利 用 
lImageMagick， 可 以 根据 Web 应 用 程序 的 需要 动态 生成 图 片 ， 还 可 以 对 一 个 (或 一 组 ) 图 片 进 行 改变 大 小 、 旋 转 、 锐 化 、 减 色 或 增加 特效 等 操作 ， 并 将 操作 的 结果 以 相同 格式 或 其 他 格式 保存 。 对 图 片 的 
操作 ， 即 可 以 通过 命令 行进 行 ， 也 可 以 用 C/C++、Perl、Java、PHP、Python 或 Ruby 编 程 来 完成 。 同 时 ImageMagick 提 供 了 一 个 高 质量 的 2D 工 具 包 ， 部 分 支持 SVG。 现 在 ，ImageMagic 的 主要 精力 集中 
在 加 强 性 能 、 减 少 bug， 以 及 提供 稳定 的 API 和 ABI 上 。 


网 


ImageMagick 的 常见 功能 如 下 : 


将 


殉 


片 从 一 个 格式 转换 成 另 一 个 格式 ， 包 括 直接 转换 成 图 标 。 


“ 可 以 改变 图 片 尺 寸 ， 旋 转 、 锐 化 〈sharpen) 、 减 色 ， 设置 图 片 特效 。 


责 


“ 对 图 片 设置 各 种 尺寸 缩 略 


将 


网 


片 设置 为 可 以 适应 于 Web 背 景 的 透明 图 片 。 


“ 将 一 组 图 片 做 成 gf 动画 ， 直 接 convert。 


“ 将 几 张 图 片 做 成 一 张 组 合 图 片 。 


网 


“ 在 一 个 图 片上 写字 或 画图 形 ， 带 文字 阴影 和 边框 泻 染 。 


局 
网 


片 加 边框 或 框架 。 


. 取得 一 些 图 片 的 特性 信息 。 


它 几 乎 包括 了 gimp 可 以 实现 的 所 有 常规 插件 功能 ， 甚 至 包括 各 种 曲线 参数 的 泻 染 功 能 。lmageMagick 的 下 载 地 址 为 : http://download.chinaunix.net/download/0001000/95.shtml， 请 提前 下 载 好 
放 到 指定 服务 器 的 目录 下 。 


安装 ImageMagick 的 命令 集 如 下 : 


ls -1 ImageMagick-6.7.9-9.tar.xz 

tar xf ImageMagick-6.7.9-9.tar.xz 

cd ImageMagick-6.7.9-9 

./configure 

make && make install 

cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 
# 提 示 : 此 图 像 软 件 安装 时 make 步 骤 耗 时 较 长 


具体 安装 过 程 如 下 : 


[root@www tools]# ls -1 ImageMagick-6.7.9-9.tar.XZ 

-rw-r--r-- 1 root root 8363720 May 1 16: 16 ImageMagick-6.7.9-9.tar.xz 
[root@www tools]# tar xf ImageMagick-6.7.9-9.tar.xz 

root@www tools]# cd ImageMagick-6.7.9-9 

root@www ImageMagick-6.7.9-9]# ./configure 

root@www ImageMagick-6.7.9-9]# make && make install 


[ 
[ 
[ 
[root@www ImageMagick-6.7.9-9]# cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/../ 提 示 : 此 步 不 是 安装 PHP 的 扩展 ， 因 此 ， 没 本 


下 面 来 看 看 ImageMagick 安 装 报错 及 解决 方法 。 
问题 1: make 步 又 出 错 。 


示例 如 下 : 


cd PerlMagick && /usr/bin/perl Makefile.PL 


Can't locate ExtUtils/MakeMaker.pm in BINC (QINC contains: /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/1ib64/perl5/vendor perl /usr/share/perl5/vendor perl /usr/1lib64/ 
BEGIN failed--compilation aborted at Makefile.PL line 24. 

make [1]: *** [PerlMagick/Makefile] Error 2 

make[1]: Leaving directory ‘/home/oldboy/tools/ImageMagick-6.5.1-2' 

make: *** [all] Error 2 


解决 方案 : 采用 yum install perl-devel-y 命 令 。 


解决 思路 : 


方法 一 ,根据 如 下 内 容 : 


Can't locate ExtUtils/MakeMaker.pm in BINC (@INC contains: /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/1ib64/perl5/vendor perl /usr/share/perl5/vendor perl /usr/1ib64/)] 


可 以 看 到 ， 上 述 内 容 中 有 Makefile.PL、/usr/lib64/perl5/vendor_perl 和 Perl 语 言 的 字样 ， 因 此 可 以 试 着 使 用 yum install perl-devel-y 命 令 安 装 相关 包 ， 看 看 是 否 可 以 解决 问题 。 前 文 讲解 过 PHP 基 础 
依赖 包 的 安装 方法 ， 遇 到 | 问题 首先 要 考虑 安装 软件 依赖 的 devel 包 。 多 思考 水 平 自然 就 提高 了 ， 哪 怕 思 考 得 不 对 也 能 锻炼 思维 ， 尝 试 的 次 数 多 了 ， 准 确 率 就 提高 了 。 


方法 二 ,寻找 唯一 并 且 有 特征 的 错误 提示 去 搜索 ， 如 下 : 


[PerlMagick/Makefile] Error 2 


图 7-4 和 图 7-5 是 通过 搜索 得 到 的 内 容 ， 利 用 搜索 引擎 快速 搜索 需要 的 信息 ， 是 运 维 人 员 重 要 的 能 力 ， 一 般 报 错 问题 都 可 以 通过 搜索 解决 ， 谷 歌 的 搜索 效果 最 好 。 


[PerlMagick/Makefile] Error 2 


网 页 新闻 贴吧 知道 音乐 图 片 视频 地 图 文库 ”更 多 » 


ImageMagick(make[1]: ** [PerlMagick/Makefile] Error 2 
首 误 掺 太 BEGINfailed--compilationabortedatMakefile.PLline24. make[1]***[PerMagickMakefi 


lejError2 make[1TLeavingdirectory /rootImageMagick-6.4.9-.. 
wwwlinuxnote.org/imag... 2012-04-01 ~ -百度 快照 - 还 丛 


图 7-4 ”ImageMagick 安 装 报错 搜索 结果 


BEGIN failed-—compilation aborted at Makefile.BPb line 24. 
make[ll1i]: *** [PerlMagick/Makefile] Error ZZ 
make[1il]: Leaving directory /root/ImageMagick-6.4.9—10' 


make: **% falll] Error 2 


解决 方法 这 是 搜索 得 到 的 答 条 


COCE 


:make kK —i instal 


或 


COCE 


Of vum -wv install perl-CPAN 


图 7-5 ”ImageMagick 安 装 报 错 搜 索 解 决 答案 参考 


问题 2: 出 现 如 下 报错 信息 “gcc: internal compiler error: Killed (program cc1)“ 


解决 方法 : 通过 查看 dmesg 发 现下 述 错误 信息 : 


[2517343.500178]Out of memory: Kill process 5051 (cc1) score 632 or sactifice child 


原因 : 安装 VM 虚拟 机 时 设置 的 内 存 小 了 (400MB 太 小 ， 大 于 512MB 就 没事 了 ) ， 加 1GB 的 VM 内 存 较 好 。 


2. 安 装 imagick PHP 扩 展 插件 


imagick 揪 件 工作 需要 lImageMagick 软 件 的 支持 ， 所 以 ， 必 须要 先 安装 lImageMagick， 否 则 会 报错 。 


imagick 插 件 是 一 个 可 以 供 PHP 调 用 ImageMagick 功 能 的 扩展 模块 。 使 用 这 个 扩展 可 以 使 PHP 具 备 和 ImageMagick 相 同 的 功能 。 


安装 了 ImageMagick 图 像 程序 后 ， 再 安装 PHP 的 扩展 imagick 插 件 ， 才 能 使 用 mageMagick 提 供 的 api 进 行 图 片 的 创建 与 修改 、 压 缩 等 操作 ， 因 为 它们 都 集成 在 imagick 这 个 PHP 扩 展 中 。 


其 安装 命令 集 如 下 (需要 提前 下 载 好 放 到 指定 服务 器 的 目录 下 ) : 


tar zxf imagick-2.3.0.tgz 

cd imagick-2.3.0 

/application/php/bin/phpize 

./configure --with-php-config=/application/php/bin/php-config 

#configure 的 参数 路 径 要 正确 配置 。 

make 

make install 

ls /application/php5.3.27/1lib/php/extensions/no-debug-zts-20090626 

cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 


安装 过 程 如 下 : 


[root@www tools]# tar zxf imagick-2.3.0.tgz 


[root@www tools]# cd imagick-2.3.0 
[root@www imagick-2.3.0]# /application/php/bin/phpize 
Configuring for: 


PHP Api Version: 20090626 
Zend Module Api No: 20090626 
Zend Extension Api No: 220090626 


[root@www imagick-2.3.0]# make 
Build complete. 
Don't forget to run "make test'. 
[root@www imagick-2.3.0]# make install 
Installing shared extensions: /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 
[root@www imagick-2.3.0]# 1s -1 /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 
total 2984 
—rWwxr-xr-x 1 root root 417069 May 1 12: 48 eaccelerator.so 
—rWwxr-xr-x 1 root root 1073033 May 1 16: 35 imagick.so 
#<== 最 后 生成 了 imagick. so 模块 就 对 了 
root root 246728 May 1 15: 51 memcache.so 
root root 491814 May 1 15: 06 opcache.so 
root root 156004 May 1 16: 05 pdo mysql.so 
root root 658468 May 1 14: 33 xcache.so 


EWEr-Xr-X 
-Wr Xr 
—rWwxr-xr-x 
—IrWwxr-xr-x 


7.5 ”配置 PHP 加 速 与 缓存 相关 的 扩展 插件 模块 


7.5.1 ”配置 Memcache/PDO_MYSQL/imagick 模 块 生效 


1. 修 改 PHP 的 配置 文件 php.ini 
修改 php.ini 的 配置 文件 过 程 如 下 : 


1) 执行 vi/application/php/ylib/php.ini 命 令 ， 编 辑 查 找 extension_dir="./" 参 数 ， 修 改 为 extension_dir="/application/php5.3.27/lib/php/extensions/no-debug-non-zts-20090626/"， 这 个 
extension_dir 对 应 的 路 径 就 是 前 文 编译 的 模块 所 在 的 路 径 。 


a: 上 默认 的 PHP 配 置 文件 路 径 为 /application/php/lib/php.ini， 可 以 通过 在 编译 PHP 时 添加 人 参数 指定 php.ini 的 配置 路 径 --with-config-file-path=/application/php5.3.27/lib/etc， 如 果 不 指 定 
编译 路 径 ， 上 默认 为 /application/php/lib/。 


快速 操作 命令 的 方法 如 下 : 


cd /application/php/1ib/ 


/bin/cp php.ini php.oldboy.20150501 #<== 修 政 前 备份 
sed -i 's#; extension dir = "./"#extension dir = "/application/php5.3.27/lib/php/extensions/no-debug-non-zts-20090626/"#g' php.ini #<== 替 换 配置 参数 
grep "extension dir =" php.ini #<== 替 换 后 ， 过 滤 检 查 结果 


2) 在 vim 命 令 模式 下 按 Shift+ G 键 跳 到 文件 结尾 ， 增 加 如 下 几 行 ， 然 后 保存 : 


extension = memcache .so 
extension = pdo mysql.so 
extension = imagick.so 


快速 操作 命令 的 方法 如 下 : 


cat >> /application/php/lib/php.ini<<EOF; --cache ext start by oldboy 2015-05-01-- 
extension = memcache.so 


extension do mysql.so 
extension = imagick.so; --cache ext end by oldboy 2015-05-01--- 
EOF 


tail -5 /application/php/1ib/php.ini 提 示 : 注释 不 是 "#"， 是 "; " 


操作 过 程 如 下 ( 老 男孩 学 习 思 想 : 在 使 用 中 记忆 Linux 命 令 ) : 


root@oldboy tools]# cd /application/php/1ib/ 
root@oldboy 1ib]# cp php.ini php.ini.oldboy.20150501 #<== 操 作 前 养 成 备份 习惯 


root@oldboy lib]# cp php.ini php.ini.tmp 
#<== 杭 不 清楚 可 以 先 用 测试 文件 测试 
root@oldboy lib]# sed -i 's#; extension dir = "./"#extension dir = "/application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/"#g' php.ini.tmp 


root@oldboy lib]# grep extension dir php.ini.tmp 
#< 一 测试 雯 件 测试 OK 了 ， 同 样 命令 应 用 到 正式 环境 
extension dir = "/application/php5.3.27/1lib/php/extensions/no-debug-non-zts-20090626/" 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/...skiphttp://www.hzcourse.com/resource/readBook?path=/openresources/tesa 


root@oldboy lib]# grep "extension dir =" php.ini ; extension dir = "./" 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/...skiphttp://www.hzcourse.com/resource/readBook?path=/openresources/tes 
[root@oldboy lib]# sed -i 's#; extension dir = "./"#extension dir = "/application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/"#g' php.ini 


root@oldboy lib]# grep "extension dir =" php.ini 
#< 一 操作 后 养 成 检查 习惯 

extension dir = "/application/php5.3.27/1lib/php/extensions/no-debug-non-zts-20090626/" 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/...skiphttp://www.hzcourse.com/resource/readBook?path=/openresources/tea 
root@www lib]# cat >> /application/php/1ib/php.ini<<EOF 

; --cache ext start by oldboy 2015-05-01-- 

extension = memcache.so 

extension = pdo mysql.so 

extension = imagick.so 

; --cache ext end by oldboy 2015-05-01---— 

EOF 
[root@www lib]# tail -5 /application/php/lib/php.ini; --cache ext start by oldboy 2015-05-01-- 
extension = memcache.so 
extension = pdo mysql.so 
extension = imagick.so; --cache ext end by oldboy 2015-05-01--- 


VvVvvVvVvvv 


2. 检 查 配置 的 相关 模块 生效 情 ) 


(1) 重启 PHP 服 务 ,编写 测试 程序 phpinfo 


首先 ， 重 启 PHP 服 务 ， 并 检查 模块 生效 情况 ， 命 令 如 下 : 


[root@www lib]# pkill php-fpm 

[root@www lib]# ps -eflgrep Php-fpm|grep -v grep 
[root@www lib]# /application/php/sbin/php-fpm 
[root@www lib]# ps -eflgrep php-fpmlgrep -V greplwc -1 
3 


然后 在 前 文 提 到 的 blog 程 序 的 站 点 目录 下 面 增 加 如 下 phpinfo.php 代 码 文件 : 


[root@www extra]# pwd 
/application/nginx/conf/extra 
[root@www extra]# cat blog.conf 
server { 
listen 80; 
server name blog.etiantian.org; 
location / { 
root html/blog; 
index index.php index.html index.htm; 
} 
location ~ .*\. (phplphp5) $ { 
root html/blog; 
fastcgi pass 127.0.0.1: 9000; 
fastcgi index index.php; 
include fastcgi.conf; 


命令 如 下 : 


cat >>/application/nginx/html/blog/view info.php<<EOF 
<php phpinfo () ; > 
EOF 


[root@www extra]# cat /application/nginx/html/blog/view info.php 
<php phpinfo () ; > 


(2) 检查 Memcached 扩 展 插件 


配 好 客户 端的 host 解 析 ， 然 后 在 浏览 器 中 输入 http://blog.etiantian.org/view_info.php 页 面 的 地 址 ， 出 现 的 内 容 如 图 7-6 所 示 。 


口 blog.etiantian.org/view _info.php 


图 7-6 ”PHP 的 phpinfo 信 息 展示 


通过 快捷 键 Ctrl+F 进 行 页 面 搜索 ， 如 果 查 找到 如 图 7-7 所 示 的 内 容 ， 表 示 Memcached 插 件 已 生效 。 


口 blog.etiantian.org/view _info.php d 


memcache 第 1 条 , 共 10 条 医 
索 框 罩 信 才 字 


图 7-7 ”PHP 的 扩展 插件 memcache 客 户 端 展示 


(3) 检查 PDO_MYSQl 扩 展 插件 


同 理 ， 搜 索 检 查 PDO_MYSQL 扩 展 插 件 ， 如 图 7-8 所 示 。 


口 blog.etiantian.org/view info.php 


pdo_mysql 


图 7-8 PHP 的 扩展 插件 pdo_mysql 


(4) 检查 IMAGICK 扩 展 插件 


同 理 ， 搜 索 检 查 IMAGICK 扩 展 插件 ， 如 图 7-9 所 示 。 


到 此 为 止 ，pdo_mysql.so、imagick.so、memcache.so 这 三 个 PHP 的 扩展 插件 就 全 部 安装 及 配置 完毕 ， 后 面 将 配置 其 余 的 缓存 插件 。 


7.6 ”生产 环境 PHP 扩 展 插件 的 安装 建议 


1.PHP 的 安装 插件 表格 列表 
常见 的 PHP 扩 展 插件 及 其 说 明 见 表 7-6。 


表 7-6 常见 的 PHP 扩 展 插件 列表 


PHP EXT module 备 注 
eaccelerator-0.9.5.2.tar.tar 适合 PHP5.3 以 前 的 版 本 ，PHP 缓存 加 速 可 选 PHP 扩展 插件 
eaccelerator-0.9.6.tar.bz2 HE 合 PHP5.3 版 本 ，PHP 绥 存 加 速 可 选 PHP 扩展 插件 
ImageMagick.tar.gz 常用 图 像 处 理 程序 ， 属 功能 应 用 医 PHP 的 扩展 插件 
imagick-2.3.0.tgz 需要 先 装 图 像 处 理 程序 ， 属 功能 应 用 可 选 PHP 扩展 插件 
memcache-2.2.7.tgz memcache 客户 端 数 据 库 缓存 优化 用 可 选 PHP 扩展 插件 
PDO MYSQL-1.0.2.tgz PHP 数据 库 访问 插件 ， 属 功能 应 用 可 选 PHP 扩展 插件 
xcache-3.2.0.tar.bz2 支持 PHP5.1-5.6，PHEP 缓存 加 速 可 选 PHP 扩展 插件 
zendopcache-7.0.5.tgz 支持 PHP5.3-5.4，PHP 绥 存 加 速 可 选 PHP 扩展 插件 


2. 生 产 环境 插件 的 安装 建议 


1) 对 于 功能 性 插件 ， 如 果 业 务 产品 不 需要 使 用 ， 可 以 暂时 不 考虑 安装 ， 例 如 PDO_MYSQLAmemcacheNimagick 等 。 如 果 不 清 楚 是 否 需要 ， 最 好 还 是 装 上 ， 有 备 无 患 。 


2) 对 于 性 能 优化 插件 ，eAccelerator、XCache、ZendOpcache、APC 可 以 安装 任 一 种 ， 具 体 情况 看 实际 业务 需求 ， 在 选择 时 最 好 能 搭建 相关 环境 进行 压力 测试 ， 然 后 根据 实际 测试 结果 来 选择 ， 


数据 说 话 很 重要 。 


老 男 孩 也 是 这 么 用 的 ， 一 般 的 环境 ， 上 述 4 种 优化 插件 都 可 以 使 用 ， 效 果 都 还 可 以 。 


3.PHP 加 速 插件 的 测试 对 比 
表 7-7 为 相关 PHP 加 速 插件 的 测试 结果 对 比 参考 (无 opcache) 。 
下 面 是 针对 PHP 加 速 器 比较 结果 进行 的 总 结 。 
: 通过 测试 得 出 ，eAccelerator 在 请 求 时 间 和 内 存 占用 综合 方面 是 最 好 的 。 
' 通过 测试 得 出 ， 使 用 加 速 器 比 无 加 速 器 在 请 求 时 间 快 了 3 倍 左右 。 
“ 通过 各 个 官方 观察 ，XCache 的 更 新 是 最 快 的 ， 这 也 说 明 它 是 最 有 发 展 前 景 的 。 


表 7-7 ”PHP 加速 插件 的 测试 结果 对 比 


单 次 请 求 时 间 最 大 内 存 占用 最 小 内 存 占用 
(毫秒 ) (MB ) 
None 24 
APC 21 
eAccelerator 18 
XCache 19 


以 上 是 总 结 结果 ， 也 许 有 人 会 疑惑 到 底 用 哪个 加 速 器 好 呢 ? 我 只 能 告诉 你 ， 首 先 ， 用 一 定 比 不 用 好 ， 其 次 每 个 加 速 器 还 有 一 些 可 以 调 优 的 参数 ， 所 以 要 根据 系统 环境 而 定 。 此 外 ，XCache 和 
ZendOPcache 这 两 款 加 速 器 的 潜力 还 是 很 大 的 ， 可 以 多 关注 一 下 。 


7.7 补充 知识 


7.7.1 phpize 是 什么 


安装 PHP 扩 展 插件 的 时 候 ， 常 常 有 这 样 一 条 命令 : /application/php/bin/phpize， 可 能 有 人 会 问 phpize 有 什么 用 ? 


事实 上 ，phpize 是 用 来 扩展 PHP 扩 展 模块 的 ， 通 过 phpize 可 以 建立 PHP 的 外 挂 模块 。 比 如 想 在 原来 编译 好 的 PHP 中 加 入 Memcached 等 扩展 模块 ， 可 以 使 用 phpize 工 具 。 


PHP 的 官方 说 明 地 址 为 http://php.net/manual/en/install.pecl.phpize.php。 


那么 ， 要 如 何 使 用 phpize 呢 ? 


编译 PHP 后 ， 其 bin 目 录 下 会 有 phpize 这 个 脚本 文件 。 在 编译 要 添加 的 扩展 模块 之 前 ， 执 行 以 下 phpize 就 可 以 了 。 比 如 现在 想 在 PHP 中 加 入 memcached 扩 展 模块 ， 那 么 要 做 的 只 是 执行 如 下 的 
Memcached 客 户 端 软件 安装 命令 : 


cd /home/oldboy/tools/ 


wget -q http: //pecl.php.net/get/memcache-2.2.7.tgz 

tar zxf memcache-2.2.7.tgz 

cd memcache-2.2.7 

/application/php/bin/phpize #<== 在 执行 configure 前 执行 这 个 命令 

./configure --enable-memcache --with-php-config=/application/php/bin/php-config 

make 

make install 

cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 


Ot 辣 : ./configure 后 面 可 以 指定 的 是 php-config 文 件 的 路 径 。 


这 样 编译 就 完成 了 ， 还 需要 做 的 是 在 php.ini 文 件 中 加 入 如 下 两 行 : 


extension dir = "/application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/" 
extension = memcache.so 


提示 : 上 述 两 行 配置 的 作用 是 加 载 使 得 Memcached 客 户 端 配置 生效 。 


@ia: extension_dir 的 路 径 就 是 memcache.so 模 块 文件 所 在 的 路 径 。 


7.8 ”PHP 缓 存 加 速 压力 测试 练习 


分 别 安 装 ZendOpcache、eacc、XCache 缓 存 加 速 插件 ， 通 过 压 测 软件 对 比 三 者 的 缓存 效率 。 
测试 方法 : 

1) 不 装 任何 加 速 插件 和 分 别 安 装 某 一 个 缓存 加 速 软件 。 

2) 可 用 压力 测试 软件 webbench、loadruner。 


3) 用 压力 测试 方法 ， 通 过 数据 看 看 到 底 哪个 加 速 器 好 。 


7.9 “本章 参考 资料 


“eAccelerator 官方 地 址 
http://eaccelerator.net 
https://github.com/eaccelerator/eaccelerator/wiki 
https:/ /github.com/eaccelerator/eaccelerator/downloads 
" XCache 官 方 资料 


http://xcache.lighttpd.net。 


http://xcache.lighttpd.net/wiki/Introduction 
ZendOpcache 官 方 资 料 


http://pecl.php.net/package/ZendOpcache 


第 8 章 ”企业 级 Nginx Web 服 务 优化 实战 


8.1 Nginx 基 本 安全 优化 


8.1.1 ”调整 参数 隐藏 Nginx 软 件 版 本 号 信息 


一 般 来 说 ， 软 件 的 漏洞 都 和 版 本 有 关 ， 这 个 很 像 汽车 的 缺陷 ， 同 一 批 次 的 要 有 问题 就 都 有 问题 ， 别 的 批 次 可 能 就 都 是 好 的 。 因 此 ， 我 们 应 尽量 隐藏 或 消除 Web 服 务 对 访问 用 户 显示 各 类 敏感 信息 (例如 
Web 软 件 名 称 及 版 本 号 等 信息 ) ， 这 样 恶 意 的 用 户 就 很 难 猜 到 他 攻击 的 服务 器 所 用 的 是 否 有 特定 漏洞 的 软件 ， 或 者 是 否 有 对 应 漏洞 的 某 一 特定 版 本 ， 从 而 加 强 Web 服 务 的 安全 性 。 这 在 武侠 小 说 里 ， 就 相当 
于 隐身 术 ， 你 隐身 了 ， 对 手 就 很 难 打 着 你 了 。 


想 要 隐身 ， 首 先 要 了 解 所 使 用 软件 的 版 本 号 ， 对 于 Linux 客 户 端 ， 可 通过 命令 行 查 看 Nginx 版 本 号 ， 最 简单 的 方法 就 是 在 Linux 客 户 端 系统 命令 行 执行 如 下 curl 命 令 : 


[root@oldboy ~]# curl -I 10.0.0.7 

HTTP/1.1 200 OK 

Server: nginx/1.6.3 拓 一 这 里 很 清晰 地 暴露 了 Web 版 本 号 (1.6.3) 及 软件 名 称 (nginx) 
Date: Thu, 09 Oct 2014 01: 58: 51 GMT 

Content-Type: text/html 

Content-Length: 18 

Last-Modified: Thu, 25 Sep 2014 20: 01: 01 GMT 

Connection: keep-alive 

ETag: "5424747d-12" 

Accept-Ranges: bytes 


在 Windows 客 户 端 上 ， 通 过 浏览 器 访问 Web 服 务 时 ， 若 找 不 到 页 面 ， 默 认 报错 的 信息 如 图 8-1 所 示 。 


404 Not Found 


neinx/l. 6.2 


图 8-1 找 不 到 对 应 地 址 的 错误 页 面 显示 


以 上 虽然 是 不 同 的 客户 端 ， 但 是 都 获得 了 Nginx 软 件 名 称 ， 而 且 查 到 了 Nginx 的 版 本 号 ， 这 就 使 得 Nginx Web 服 务 的 安全 存在 一 定 的 风险 ， 因 此 ， 应 隐藏 掉 这 些 敏 感 信 息 或 用 一 个 其 他 的 名 字 将 其 蔡 
代 。 例 如 ， 下 面 是 百度 搜索 引擎 网 站 Web 软 件 的 更 名 做 法 : 


root@oldboy ~]# curl -I baidu.com 

HTTP/1.1 200 OK 

Date: Tue, 21 Oct 2014 03: 31: 01 GMT 

Server: Apache #<== 将 Web 服 务 软件 更 名 为 了 Apache， 并 且 版 本 号 也 去 掉 了 
root@oldboy ~]# curl -I -s www.baidu.com|grep Server 

Server: BWS/1.1 #<== 将 Web 服 务 软 件 更 名 为 了 BWS， 并 且 版 本 号 改 为 1.1 ( 闭 源 的 软件 名 称 
和 版 本 就 无 所 谓 了 ) 


门户 网 站 尚且 如 此 ， 我 们 也 学 着 隐藏 或 改 掉 应 用 服务 软件 名 和 版 本 号 吧 ! 
事实 上 ， 还 可 以 通过 配置 文件 加 参数 来 隐藏 Nginx 版 本 号 。 
编辑 nginx.conf 配 置 文件 增加 人 参数， 实现 隐藏 Nginx 版 本 号 的 方式 如 下 。 


在 Nginx 配 置 文件 nginx.conf 中 的 http 标 签 段 内 加 入 “server tokens off; ”参数 ， 如 下 : 


http 
{ 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/..http://www.hzcourse.com/resource/readBook?path=/openresources/teac 


server tokens off; 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teac 


} 


此 参数 放置 在 http 标 签 内 ， 作 用 是 控制 http response header 内 的 Web 服 务 版 本 信息 的 显示 ， 以 及 错误 信息 中 Web 服 务 版 本 信息 的 显示 。 


server tokens 人 参数 的 官方 说 明 如 下 : 


syntax: server_ tokens on | off; #< 一 此 行为 参数 语法 ，on 为 开启 状态 ，off 为 关闭 状态 

default: Server tokens on; #<== 此 行 意思 是 不 配置 该 参数 ， 软 件 默 认 情 况 的 结果 

context: http， server， location #<== 此 行为 Server_tokens 参 数 可 以 放置 的 位 置 参 数 作 用 : 激活 或 禁止 Nginx 的 版 本 信息 显示 在 报错 信息 和 Server 的 响应 首部 位 置 中 
Enables or disables emitting of nginx version in error messages and in the"Server" response header field. #<== 此 行 是 参数 的 作用 原文 ， 一 定 要 细 看 


官方 资料 地 址 : http://nginx.org/en/docs/http/ngx_http_core_module.html。 


配置 完毕 后 保存 ， 重 新 加 载 配置 文件 ， 再 次 通过 curl 查 看 ， 结 果 如 下 : 


[root@oldboy conf]# /application/nginx/sbin/nginx -s reload 
[root@oldboy conf]# curl -I 10.0.0.7 

HTTP/1.1 200 OK 

Server: nginx #<== 版 本 号 已 消失 
Date: Thu, 09 Oct 2014 02: 03: 32 GMT 
Content-Type: text/html 

Content-Length: 18 

Last-Modified: Thu, 25 Sep 2014 20: 01: 01 GMT 
Connection: keep-alive 

ETag: "5424747d-12" 

Accept-Ranges: bytes 


此 时 ， 浏 览 器 的 报错 提示 中 没有 了 版 本 号 ， 如 图 8-2 所 示 。 修 改 成 功 。 


404 Not Found 


图 8-2 ”无 版 本 号 的 错误 页 面 显示 


第 8 章 ”企业 级 Nginx Web 服 务 优化 实战 


8.1 Nginx 基 本 安全 优化 


8.1.1 ”调整 参数 隐藏 Nginx 软 件 版 本 号 信息 


一 般 来 说 ， 软 件 的 漏洞 都 和 版 本 有 关 ， 这 个 很 像 汽车 的 缺陷 ， 同 一 批 次 的 要 有 问题 就 都 有 问题 ， 别 的 批 次 可 能 就 都 是 好 的 。 因 此 ， 我 们 应 尽量 隐藏 或 消除 Web 服 务 对 访问 用 户 显示 各 类 敏感 信息 (例如 
Web 软 件 名 称 及 版 本 号 等 信息 ) ， 这 样 恶 意 的 用 户 就 很 难 猜 到 他 攻击 的 服务 器 所 用 的 是 否 有 特定 漏洞 的 软件 ， 或 者 是 否 有 对 应 漏洞 的 某 一 特定 版 本 ， 从 而 加 强 Web 服 务 的 安全 性 。 这 在 武侠 小 说 里 ， 就 相当 


于 隐身 术 ， 你 隐身 了 ， 对 手 就 很 难 打 着 你 了 。 


想 要 隐身 ， 首 先 要 了 解 所 使 用 软件 的 版 本 号 ， 对 于 Linux 客 户 端 ， 可 通过 命令 行 查看 Nginx 版 本 号 ， 最 简单 的 方法 就 是 在 Linux 客 户 端 系统 命令 行 执行 如 下 curl 命 令 : 


[root@oldboy ~]# curl -I 10.0.0.7 

HTTP/1.1 200 OK 

Server: nginx/1.6.3 ，”#< 一 这 里 很 清晰 地 暴露 了 Web 版 本 号 (1.6.3) 及 软件 名 称 (nginx) 
Date: Thu, 09 Oct 2014 01: 58: 51 GMT 

Content-Type: text/html 

Content-Length: 18 

Last-Modified: Thu, 25 Sep 2014 20: 01: 01 GMT 

Connection: keep-alive 

ETag: "5424747d-12" 

Accept-Ranges: bytes 


在 Windows 客 户 端 上 ， 通 过 浏览 器 访问 Web 服 务 时 ， 若 找 不 到 页 面 ， 默 认 报错 的 信息 如 图 8-1 所 示 。 


404 Not Found 


nginxA.6.2 


图 8-1 找 不 到 对 应 地 址 的 错误 页 面 显示 


此 ， 应 隐藏 掉 这 些 敏感 信息 或 用 一 个 其 他 的 名 字 将 其 蔡 


以 上 虽然 是 不 同 的 客户 端 ， 但 是 都 获得 了 Nginx 软 件 名 称 ， 而 且 查 到 了 Nginx 的 版 本 号 ， 这 就 使 得 Nginx Web 服 务 的 安全 存在 一 定 的 风险 ， 


代 。 例 如 ， 下 面 是 百度 搜索 引擎 网 站 Web 软 件 的 更 名 做 法 : 


[root@oldboy ~]# curl -I baidu.com 

HTTP/1.1 200 OK 

Date: Tue, 21 Oct 2014 03: 31: 01 GMT 

Server: Apache #<== 将 Neb 服 务 软件 更 名 为 了 apache， 并 且 版 本 号 也 去 掉 了 

[root@oldboy ~]# curl -I -s www.baidu.com|grep Server 

Server: BWS/1.1 #<== 将 Web 服 务 软 件 更 名 为 了 BWS， 并 且 版 本 号 改 为 1 .1 ( 闭 源 的 软件 名 称 
和 版 本 就 无 所 谓 了 ) 


门户 网 站 尚且 如 此 ， 我 们 也 学 着 隐藏 或 改 掉 应 用 服务 软件 名 和 版 本 号 吧 ! 
事实 上 ， 还 可 以 通过 配置 文件 加 参数 来 隐藏 Nginx 版 本 号 。 
编辑 nginx.conf 配 置 文件 增加 参数 ， 实 现 隐藏 Nginx 版 本 号 的 方式 如 下 。 


在 Nginx 配 置 文件 nginx.conf 中 的 http 标 签 段 内 加 入 “server tokens off; ”参数 ， 如 下 : 


http 


{ 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/O0EBPS/Text/..http://www.hzcourse.com/resource/readBook?path=/openresources/teac 


server tokens off; 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teac 


} 


此 参数 放置 在 http 标 签 内 ， 作 用 是 控制 http response header 内 的 Web 服 务 版 本 信息 的 显示 ， 以 及 错误 信息 中 Web 服 务 版 本 信息 的 显示 。 


server tokens 参 数 的 官方 说 明 如 下 : 


syntax: server_tokens on | off; 大 一 此 行为 参数 语法 ，on 为 开启 状态 ，off 为 关闭 状态 

default: server tokens on; #<== 此 行 意思 是 不 配置 该 参数 ， 软 件 默 认 情 况 的 结果 

context: http,， server， location # 一 此 行为 Server_tokens 参 数 可 以 放置 的 位 置 参数 作用 : 激活 或 禁止 Nginx 的 版 本 信息 显示 在 报错 信息 和 Server 的 响应 首部 位 置 中 
Enables or disables emitting of nginx version in error messages and in the"Server" response header field. #<== 此 行 是 参数 的 作用 原文 ， 一 定 要 细 看 


官方 资料 地 址 : http://nginx.org/en/docs/http/ngx_http_core_module.html。 


配置 完毕 后 保存 ， 重 新 加 载 配置 文件 ， 再 次 通过 curl 查 看 ， 结 果 如 下 : 


[root@oldboy conf]# /application/nginx/sbin/nginx -s reload 
[root@oldboy conf]# curl -I 10.0.0.7 

HTTP/1.1 200 OK 

Server: nginx #<== 版 本 号 已 消失 
Date: Thu, 09 Oct 2014 02: 03: 32 GMT 
Content-Type: text/html 

Content-Length: 18 

Last-Modified: Thu, 25 Sep 2014 20: 01: 01 GMT 
Connection: keep-alive 

ETag: "5424747d-12" 

Accept-Ranges: bytes 


此 时 ， 浏 览 器 的 报错 提示 中 没有 了 版 本 号 ， 如 图 8-2 所 示 。 修 改 成 功 。 


全 了 Ja http:// bbs.etiantian.o 


404 Not Found 


图 8-2 无 版 本 号 的 错误 页 面 显 示 


8.2 ”根据 参数 优化 Nginx 服 务 性 能 


8.2.1 优化 Nginx 服 务 的 worker 进 程 个 数 


在 高 并 发 、 高 访问 量 的 Web 服 务 场景 ， 需 要 事先 启动 好 更 多 的 Nginx 进 程 ， 以 保证 快速 响应 并 处 理 大 量 并 发 用 户 的 请 求 。 

这 类 似 于 开饭 店 ， 在 营业 前 ， 需 要 事先 招聘 一 定数 量 的 服务 员 准 备 接待 顾客 ， 但 这 里 就 有 一 个 问题 ， 如 果 饭 店 对 客流 没有 正确 预 估 ， 就 会 导致 一 些 问题 发 生 ， 例 如 : 服务 员 人 数 招聘 多 了 ， 但 是 客流 很 
少 ， 那 么 服务 员 就 可 能 很 闲 ， 没 事 干 ， 饭 店 的 成 本 也 高 了 ; 如 果 客 流 很 大 ， 而 服务 员 人 数 少 了 ， 可 能 就 接待 不 过 来 顾客 ， 导 致 顾客 吃饭 体验 差 。 因 此 ， 饭 店 要 根据 客户 的 流量 及 并 发 量 来 调整 接待 的 服务 人 
员 数 量 ， 然 后 根据 监测 顾客 量变 化 及 时 调整 到 最 佳 的 配置 。 


Nginx 服 务 就 相当 于 饭店 ， 网 站 用 户 就 相当 于 顾客 ，Nginx 的 进程 就 相当 于 服务 员 ， 下 面 就 来 优化 Nginx 进 程 的 个 数 。 


1. 优 化 Nginx 进 程 对 应 的 配置 


优化 Nginx 进 程 对 应 Nginx 服 务 的 配置 参数 如 下 : 


worker_processes 1; #<=- 指 定 了 Nginx 要 开启 的 进程 数 ， 结 尾 的 数字 就 是 进程 的 个 数 


上 述 参 数 调 整 的 是 Nginx 服 务 的 worker 进 程 数 ，Nginx 有 Master 进 程 和 worker 进 程 之 分 ，Master 为 管理 进程 ， 真 正 接待 “顾客 ”的 是 worker 进 程 。 


2. 优 化 Nginx 进 程 个 数 的 策略 
前 面 已 经 讲解 过 ，worker_processes 参 数 大 小 的 设置 最 好 和 网 站 的 用 户 数量 相关 联 ， 可 如 果 是 新 配置 ， 不 知道 网 站 的 用 户 数量 该 怎么 办 呢 ? 


搭建 服务 器 时 ，worker 进 程 数 最 开始 的 设置 可 以 等 于 CPU 的 核 数 ， 且 worker 进 程 数 要 多 一 些 ， 这 样 起 始 提供 服务 时 就 不 会 出 现 因为 访问 量 快 速 增加 而 临时 启动 新 进程 提供 服务 的 问题 ， 缩 短 了 系统 的 
瞬时 开销 和 提供 服务 的 时 间 ， 提 升 了 服务 用 户 的 速度 。 高 流量 高 并 发 场合 也 可 以 考虑 将 进程 数 提高 至 CPU 核 数 *2， 具 体 情况 要 根据 实际 的 业务 来 选择 ， 因 为 这 个 参数 除了 要 和 CPU 核 数 匹配 外 ， 也 和 硬盘 存 
储 的 数据 及 系统 的 负载 有 关 ， 设 置 为 CPU 的 核 数 是 一 个 好 的 起 始 配置 ， 这 也 是 官方 的 建议 。 


3. 查 看 Web 服 务 器 CPU 硬件 资源 信息 
下 面 介 绍 查看 Linux 服 务 器 CPU 总 核 数 的 方法 。 


通过 /proc/cpuinfo 可 查看 CPU 个 数 及 总 核 数 。 查 看 CPU 总 核 数 的 示例 如 下 : 


[oldboy@oldboy ~]$ grep processor /proc/cpuinfolwc -1 
4 #<== 表 示 为 1 颗 CPU 四 核 

[root@oldboy ~]# grep -c processor /proc/cpuinfo 

4 #<== 表 示 为 1 颗 CPU 四 核 


查看 CPU 总 颗 数 的 示例 如 下 : 


[oldboy@oldboy ~]$ grep 'physical id' /proc/Vcpuinfolsortluniqlwc -1 
1 #<== 对 physical ig 去 重 计数 ， 表 示 1 颗 CPU 


通过 执行 top 命 令 ， 然 后 按 数 字 1， 即 可 显示 所 有 的 CPU 核 数 ， 如 下 : 


[root@oldboy-server ~]# top 按 1 显示 多 核 cpu 
top - 11: 31: 10 up 608 days, 16: 04, 2 users, load average: 0.00, 0.00,， 0.00 


Tasks: 121 total, 1 running, 114 sleeping, 6 stopped, 0 zombie 
Cpu0 : 0.2%us, 0.1%sy, 0.0%ni, 99.2%id, 0.5%wa, 0.0%hi, 0.0%si, 0.0%st 
Cpul : 0.1%us， 0.0%sy, 0.0%ni, 99.5%id, 0.3%wa, 0.0%hi, 0.0%si, 0.0%st 
Cpu2 : 0.2%us, 0.1l%sy, 0.0%ni, 99.4%id, 0.3%wa, 0.0%hi, 0.0%si, 0.0%st 
Cpu3 : 0.2%us, 0.1l%sy, 0.0%ni, 99.4%id, 0.3%wa, 0.0%hi, 0.0%si, 0.0%st 
Mem: 8173172k total, 8126340k used, 46832k free, 419508k buffers 
Swap: 4192956k total, 156k used, 4192800k free, 6681084k cached 
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 
1 root 15 0 10368 680 572S 0.0 0.0 0: 01.94 init 
2 root RT “~5 0 0 0S 0.0 0.0 0: 02.48 migration/0 


#<== 这 是 单 CPU 四 核 的 信息 例如 : CPU 核 数 为 4， 就 配置 Worker_Processes 4 


4. 实 践 修改 Nginx 配 置 


假设 服务 器 的 CPU 颗 数 为 1 颗 ， 核 数 为 4 核 ， 则 初始 的 配置 可 通过 查看 默认 的 nginx.conf 里 的 worker_processes 数 来 了 解 ， 命 令 如 下 : 


[root@oldboy conf]# grep worker processes nginx.conf 
worker processes 1; 


这 里 修改 参数 值 为 CPU 的 总 核 数 4， 然 后 重新 加 载 Nginx 服 务 。 


修改 配置 的 方法 如 下 : 


[root@oldboy conf]# sed -i 's#worker processes 1#worker processes 4#g' nginx.conf 
[root@oldboy conf]# grep worker processes nginx.conf 
Worker processes 4; 提示 : 可 以 通过 Vi 修改 


优雅 重启 Nginx， 使 修改 生效 ， 如 下 : 


[root@oldboy ~]# /application/nginx/sbin/nginx -t 

nginx: the configuration file /application/nginx1.6.3/conf/nginx.conf syntax is ok 
nginx: configuration file /application/nginx1.6.3/conf/nginx.conf test is successful 
[root@oldboy ~]# /application/nginx/sbin/nginx -s reload 


现在 检查 修改 后 的 worker 进 程 数 量 ， 如 下 : 


[root@oldboy ~]# ps -eflgrep nginx|grep -v grep 
root 1428 Lb D5 00: 00: 0 


0 nginx: master process /application/nginx/sbin/nginx 
nginx 1832 1428 0 10: 24 00: 00: 00 nginx: worker process 
nginx 1833 1428 0 10: 24 00: 00: 00 nginx: worker process 
nginx 1834 1428 0 10: 24 00: 00: 00 nginx: worker process 
nginx 1835 1428 0 10: 24 00: 00: 00 nginx: worker process 


从 “worker_processes 4” 可 知 ，worker 的 进程 数 为 4 个 。Nginx Master 主 进程 不 包含 在 这 个 参数 内 ，Nginx Master 的 主 进程 为 管理 进程 ， 负 责 调度 和 管理 worker 进 程 。 


有 关 worker_processes 参 数 的 官方 说 明 如 下 : 


syntax: worker_processes number; #<== 此 行为 参数 语法 ，nurmber 为 数量 
default: worker processes 1; #< 一 此 行 意思 是 不 配置 该 参数 ， 软 件 默 认 情 况 数 量 为 ] 
context: main #<== 此 行为 worker _processes 参 数 可 以 放置 的 位 置 


WoTker Processes 为 定义 Worker 进 程 数 的 数量 ， 建 议 设 置 为 CPU 的 核 数 或 CPU 核 数 *2， 具 体 情况 要 根据 实际 的 业务 来 选择 ， 因 为 这 个 参数 ， 除 了 要 和 CPU 核 数 匹配 外 ， 和 硬盘 存储 的 数据 以 系统 的 负载 也 有 关 ， 设 置 为 CPU 的 个 数 或 
From : http: //nginx.org/en/docs/ngx core module.html 


8.3 Nginx 日 志 相 关 优化 与 安全 


8.3.1 编写 脚本 实现 Nginx access 日 志 轮 询 


当 用 户 请 求 一 个 软件 时 ， 绝 大 多 数 软件 都 会 记录 用 户 的 访问 情况 ，Nginx 服 务 也 不 例外 。Nginx 软 件 目前 还 没有 类 似 Apache 的 通过 cronolog 或 rotatelog 对 日 志 分 割 处 理 的 功能 ， 但 是 ， 运 维 人 员 可 以 
利用 脚本 开发 、Nginx 的 信号 控制 功能 或 reload 重 新 加 载 ， 来 实现 日 志 的 自动 切割 、 轮 询 。 


详细 操作 过 程 如 下 。 


1) 配置 日 志 切 割 脚本 ， 命 令 如 下 : 


[root@oldboy 
[root@oldboy 


cd /application/nginx/logs &&\ 
/bin/mv www_access.1og Www access $ (date +%F -d -lday) 
/application/nginx/sbin/nginx -s reload 


~]# mkdir /server/scripts/ -p 
~]# cd /server/scripts/ 
[root@oldboy scripts]# vim cut nginx log.sh 


#<== 将 日 志 按 日 期 改 成 前 一 天 的 名 称 


.1og 
于 类 村 大庆 训 新 生发 计 同 日志 全 从 大 实际 上 脚本 的 功能 很 简单 ， 就 是 改名 日 志 ， 然 后 加 载 nginx， 重 新 生成 文件 记录 日 志 


2) 将 这 段 脚本 保存 后 加 入 到 服务 器 端的 定时 任务 配置 里 ， 


[root@oldboy scripts]# crontab -e 


#cut nginx access log by oldboy at 201409 
00 00 * * * /pin/sh /server/scripts/cut nginx 1og.sh >/dev/null 2>&1 


让 此 脚本 在 每 天 凌 


一 打开 编辑 功能 后 ， 加 入 如 下 内 容 


晨 0 点 执行 ， 就 可 以 实现 日 志 的 每 天 分 割 功 能 ， 操 作 结果 如 下 : 


此 处 意思 是 每 天 凌晨 0 点 执行 后 面 的 /server/scripts/cut_nginx_log.sh 脚 本 ，>/dev/null 2> &1 表 示 任 何 输出 都 不 要 。 这 个 是 Linux 的 基础 服务 之 一 ， 具 体 请 参考 老 男 孩 的 其 他 基础 课程 或 相关 资料 。 


最 终 切 割 后 的 日 志 效果 如 下 : 


[root ol Sboy scripts]# 11 /otton/ no os/e 用 量 27752 


上 上 FF FF 


root 
root 
root 
root 
root 
root 
root 
root 


root 20241716 10 月 

root 27428 10 月 a 
root 5 10 月 9 
root 264 9 月 26 
root 0 9 月 26 
root 0 9 月 28 
root 48717 9 月 28 


root 8072741 10 月 9 


access.1og 
error.1og 
nginx.pid 
Www_access 2014- 
Www_access_ 2014- 
Www_access 


2014- 
WwW_access_2014- 
www_access_2014- 


09-25.129g 
09-26.1og 
09-27.1og 
09-28.1og 
10-09.1og 


侠 说 明 : 这 里 按照 不 同 的 日 期 生成 日 志 。 


8.4 Nginx 站 点 目录 及 文件 URL 访 问 控制 


8.4.1 根据 扩展 名 限制 程序 和 文件 访问 


Web 2.0 时 代 ， 绝 大 多 数 网 站 都 是 以 用 户 为 中 心 的 , 例如: bbs、blog、 
因此 给 服务 器 带 来 了 很 大 的 安全 风险 。 虽 然 很 多 程序 在 上 传 前 会 做 一 定 的 控制 ， 例 如 : 文件 大 小 、 类 型 等 ， 但 是 ， 一 不 小 心 就 会 被 黑客 钻 了 空子 ， 上 传 了 木马 程序 。 


由 于 为 用 户 开 了 上 传 的 功能 ， 


下 面 将 利 
范例 1: 配 


Nginx 配 


Nginx, 


禁止 解析 指定 目录 下 的 指 


禁止 访问 上 传 资源 目录 下 的 PHP、Shell、Perl、 


定 程序 。 


Sns 产 品 ， 这 几 个 产品 都 有 一 个 共同 特点 ， 就 是 不 但 允许 用 户 发 布 内 容 到 服务 器 ， 还 允许 用 户 发 图 片 甚至 上 传 附件 到 服务 器 上 ， 


Python 程序 文件 ， 这 样 用户 即 使 上 传 了 木马 文件 也 没 法 执行 ， 从 而 加 强 了 网 站 的 安全 。 


location ~ ^/images/.*\. 
} 

location ~ ^/static/.*\. 
{ 


} 
location ~* ^/data/ (attachment|avatar) /.*\. 


{ 


deny all; 


deny all; 


deny all; 


(Phplphp5|shlpllpy) $ 


(Phplphp5|shlpllpy) $ 


(phplphp5) $ 


对 上 述 目录 的 限制 必须 写 在 Nginx 处 理 PHP 服 务 配置 的 前 面 ， 如 下 : 


location ~ 


{ 


fastcgi pass 


“*\. (phplphp5) $ 


127.0.0.1: 9000; 


fastcgi index index.php; 
include fcgi.conf; 


范例 2: Nginx 下 配置 禁止 访问 *.txt 和 *.doc 文 件 。 


实际 配置 信息 如 下 : 


location ~* \. 


(txtldoc) $ { 


if (-f $request filename) { 
root /data/www/www; 


#rewrite … 


break; 
} 
} 


location ~* \. 


(txtldoc) ${ 


root /data/www/www; 
denyall; 


} 


‘http:/ /ww .hzcourse. com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/. .可 以 重 定向 到 某 个 URL 


8.5 ”Nginx 图 片 及 目录 防 资 链 解决 方案 


1. 什 么 是 资源 盗 链 


简单 地 说 ， 就 是 某 些 不 法 网 站 未 经 许可 ， 通 过 在 其 自身 网 站 程序 里 非法 调用 其 他 网 站 的 资源 ， 然 后 在 自己 的 网 站 上 显示 这 些 调 


的 网 络 流量 ， 


还 造成 其 他 网 站 的 带宽 及 服务 压力 吃紧 ， 甚 至 宕 机 。 


的 资源 ， 达 到 填充 自身 网 站 的 效果 。 这 一 举动 不 仅 浪费 了 调 


资源 网 站 


下 面 通过 示意 图 阐述 资源 被 盗 链 原理 ， 如 图 8-11 所 示 。 


A A 
学 ES 


www.daolian.com Wwww.etiantian.org 


盗 取 网 站 地 址 链接 


8-11 资源 被 盗 链 原 理 详细 示意 图 


2. 网 站 资源 被 资 链 带 来 的 问题 


若 网 站 图 片 及 相关 资源 被 盗 链 ， 最 直接 的 影响 就 是 网 络 带宽 占用 加 大 了 ， 带 宽 费 用 多 了 ， 网 络 流量 也 可 能 忽 高 忽 低 ，Nagios/Zabbix 等 报警 服务 频繁 报警 ， 类 似 图 8-12 所 示 。 


mins Traffic - etho 


$8 


HaxI130 I80! / 100LOHH 


Do 


Fri 66: 00 ~ Fri 06: 
From 2613/66/26 17:48:33 To 2613/66/21 17:48:33 


国 Inbound Current: 564.36 k Average: 261.78 k Maximum: 
国 0utbound Current: 98.78 M Average: 11.43 M Maximum: 


图 8-12 ” 因 盗 链 导 致 的 流量 舰 升 图 


最 严重 的 情况 就 是 网 站 的 资源 被 非法 使 用 ， 使 网 站 带宽 成 本 加 大 和 服务 器 压力 加 大 ， 这 有 可 能 导致 数 万 元 的 损失 ， 且 网 站 的 正常 用 户 访问 也 会 受到 影响 。 


3. 企 业 真实 案例 : 网 站 资源 被 资 链 ， 出 现 严 重 问 


某 日 ， 接 到 从 事 运 维 工 作 的 朋友 的 紧急 求助 ， 其 公司 的 CDN 源 站 ， 源 站 的 流量 没有 变动 ， 但 CDN 加 速 那 边 的 流量 无 故 超 了 好 几 个 GB， 不 知道 怎么 处 理 。 


该 故障 的 影响 : 由 于 是 购买 的 CDN 网 站 加 速 服务 ， 因 此 虽然 流量 多 了 几 个 GB， 但 是 业务 未 受 影 响 。 只 是 ， 这 么 大 的 异常 流量 ， 持 续 下 去 可 直接 导致 公司 无 故 损失 数 万 元 。 解 决 这 个 问题 可 体现 运 维 的 价 


那么 这 样 的 问题 如 何 及 时 发 现 ， 又 如 何 处 理 呢 ? 
本 节 给 大 家 讲述 几 个 发 现 问题 的 方法 ， 如 何 处 理 资 链 ， 后 文 会 详细 讲解 。 
第 一 ， 对 1DC 及 CDN 带 宽 做 监控 报警 。 


第 二 ， 作 为 高 级 运 维 或 运 维 经 理 ， 每 天 上 班 的 重要 任务 ， 就 是 经 常 查 看 网 站 流量 图 ， 关 注 流量 变化 ， 关 注 异 常 流量 。 


第 三 ， 对 访问 日 志 做 分 析 ， 迅 速 定位 异常 流量 ， 并 且 和 公司 市 场 推广 等 保持 较 好 的 沟通 ， 以 便 调度 带宽 和 服务 器 资源 ， 确 保 网 站 正常 的 访问 体验 。 
更 多 企业 案例 及 实战 解决 方案 见 老 男孩 的 博文 : http://oldboy.blog.51cto.com/2561410/909696。 
4. 常 见 防盗 链 解决 方案 的 基本 原理 

(1) 根据 HTTP referer 实 现 防 资 链 


在 HTTP 协 议 中 ， 有 一 个 表 头 字段 叫 referer， 使 用 URL 格 式 来 表示 是 哪里 的 链接 用 了 当前 网 页 的 资源 。 通 过 referer 可 以 检测 访问 的 来 源 网 页 ， 如 果 是 资源 文件 ， 可 以 跟踪 到 显示 它 的 网 页 地 址 ， 一 旦 检 


测 出 来 源 不 是 本 站 ， 马 上 进行 阻止 或 返回 指定 的 页 面 。 


HTTP referer 是 header 的 一 部 分 ， 当 浏览 器 向 Web 服 务 器 发 送 请 求 时 ， 一 般 会 带 上 referer， 告 诉 服务 器 我 是 从 哪个 页 面 链接 过 来 的 ， 服 务 器 借 此 获得 一 些 信息 用 于 处 理 。Apache、Nginx、Lighttpd 
三 者 都 支持 根据 HTTP referer 实 现 防盗 链 ，referer 是 目前 网 站 图 片 、 附 件 、html 等 最 常用 的 防盗 链 手段 。 图 8-13 是 referer 防 姿 链 的 基本 原理 图 


3 A 
学 从 全 


www.daolian.com 


Www.etiantian.org 


1. 用 户 通 过 www.daolian.com 
访问 盗 链 的 网 站 地 址 


http://www.etiantian.org/oldboy.] 2 2 : 
1ttp://Wwww.etiantian.org/oldboy.pg 2. 访问 被 资 链 网 站 http://www.etiantian.org/oldboy.jpg 


地 址 ， 获 取 数 据 


nginx 或 apache referer 规则 : 
1 禁止 非 *etiantian org 域 下 访问 
本 地 * jpg 等 资源 
http://www.etiantian.org/img/nolink.gif 2. 返回 指定 图 片 或 错误 代码 404/403 


等 
(人 请 勿 盗 链 .不 件 合 referer 规则 ， 
返回 nolink.g 站 固定 


G/CC\ 


图 8-13 ”通过 referet 解 决 次 链 问题 基本 原理 


(2) 根据 cookie 防 盗 链 


对 于 一 些 特殊 的 业务 数据 ， 例 如 流 媒体 应 用 通过 ActiveX 显 示 的 内 容 (例如 ，Flash、Windows Media 视 频 、 流 媒体 的 RTSP 协 议 等 ) ， 因 为 它们 不 向 服务 器 提供 referer header， 所 以 若 采 用 上 述 的 
referer 的 防 资 链 手段 ， 就 达 不 到 想 要 的 效果 。 


对 于 Flash、Windows Media 视 频 这 种 占用 流量 较 大 的 业务 数据 ， 防 资 链 是 比较 困难 的 ， 此 时 可 以 采用 Cookie 技 术 ， 解 决 Flash、Windows Media 视 频 等 的 防盗 链 问 题 。 


例如 : ActiveX 插 件 不 传递 referer， 但 会 传递 Cookie， 可 以 在 显示 ActiveX 的 页 面 的 <head> </head> 标 签 内 嵌入 一 段 JavaScript 代 码 , 设置 “Cookie: Cache=av” 如 下 : 


<script> document .cookie="Cache=av; domain=domain.com; path=/"; </script> 


然后 就 可 以 通过 各 种 手段 来 判断 这 个 Cookie 的 存在 ， 以 及 验证 其 值 的 操作 了 。 


根据 Cookie 来 防盗 链 的 技术 非 本 书 的 内 容 ， 读 者 了 解 即 可 ， 如 果 企业 确实 有 需要 ， 可 以 阅读 其 他 书籍 或 进入 交流 群 获取 这 部 分 的 知识 。 


(3) 通过 加 密 变 换 访问 路 径 实现 防盗 链 


此 种 方法 比较 适合 视频 及 下 载 类 业务 数据 的 网 站 。 例 如 : Lighttpd 有 类 似 的 插件 mod_secdownload 来 实现 此 功能 。 先 在 服务 器 端 配置 此 模块 ， 设 置 一 个 固定 用 于 加 密 的 字符 串 ， 比 如 oldboy， 然 后 设 
置 一 个 ur 前 缀 ， 比 如 /mp4/， 再 设置 一 个 过 期 时 间 ， 比 如 1 小 时 ， 然 后 写 一 段 PHP 代 码 ， 利 用 加 密 字 符 串 和 系统 时 间 等 通过 md5 算 法 生成 一 个 加 密 字符 串 。 最 终 获 取 到 的 文件 的 URL 链 接 中 会 带 有 一 个 时 间 
截 和 一 个 加 密 字符 的 md5 数 值 ， 在 访问 时 系统 会 对 这 两 个 数据 进行 验证 。 如 果 时 间 不 在 预期 的 时 间 段 内 (如 1 小 时 内 ) 则 失效 ;如 果 时 间 戳 符合 条 件 ， 但 是 加 密 的 字符 串 不 符合 条 件 也 会 失效 ， 从 而 达到 防 
盗 链 的 效果 。 


PHP 代 码 实例 如 下 : 

<php 

$secret = "oldboy"; // 加 密 字符 串 ， 必 须 和 1ighttpd.conf 里 的 保持 一 致 

S$uri prefix = "/mp4/"; // 虚拟 的 路 径 、 前 级， 必须 和 1lighttpd.conf 里 的 保持 一 致 
$File = "/test.mp4n; // 实际 文件 名 ， 必 须 加 ny/" 斜 杠 

$timestamp = time () ; // current timestamp 


$t hex = sprintf ("%08x", $timestamp) ; 

Sm = md5 ($secret.$file.$t hex) ; 

printf ('%s', S$uri prefix, $m, St hex, $file, $file); // 生 成 Url 地 址 囊 
> 


根据 Lighttpd 的 插件 mod_secdownload 来 进行 防盗 链 的 技术 非 本 书 的 内 容 ， 读 者 了 解 即 可 ， 如 果 企业 确实 有 需要 ， 可 以 阅读 其 他 书籍 ， 或 者 进入 交流 群 获取 这 部 分 的 知识 。 


5.Nginx Web 服 务实 现 防盗 链 实战 


在 默认 情况 下 ， 只 需要 进行 简单 的 配置 ， 即 可 实现 防盗 链 处 理 。 请 看 下 面 的 实例 。 


(1) 利用 referer， 并 且 针 对 扩展 名 rewrite 重 定向 


下 面 的 代码 为 利用 referer 且 针对 扩展 名 rewrite 重 定向 ， 即 实现 防 资 链 的 Nginx 配 置 。 


location ~* \. (jpglgiflpng|swf|flv|lwmalwmvlasflmp3|mmf|lziplrar) $ { 
Valid referers none blocked *.etiantian.org etiantian.org; 
if ($invalid referer) { 
rewrite ^]/ http: //www.etiantian.org/img/nolink.jpg; 
} 


所 示 : 要 根据 自己 公司 的 实际 业务 (是 否 有 外 链 的 合作 ) ， 进 行 域名 设置 。 


设置 expires 的 方法 如 下 : 


[root@oldboy bbs]# cat /application/nginx/conf/extra/www.conf 
server { 
listen 80; 
server name www.etiantian.org; 
root html/www; 
index index.html index.htm; 
access 1og logs/www access.10g main; 
#Preventing hot linking of images and other file types 
location ~* ^.+\. (gifljpglpng|swfl|lflv|lrar|zip) $ { 
Valid referers none blocked server names *.etiantian.org etiantian.org; 
if ($invalid referer) { 
rewrite ^]/ http: //bbs.etiantian.com/img/nolink.jpg; 
E 
access log off; 
root html /www; 
expires 1d; 
break; 


(2) 利用 referer， 并 且 针 对 站 点 目录 过 滤 返 回 错误 码 


针对 目录 的 方法 如 下 : 


location /images { 
root /data0/www/www; 
valid referers none blocked *.etiantian.org etiantian.org; 
if ($invalid referer) { 
return 403; 
} 


在 上 面 这 段 防盗 链 设 置 中 ， 分 别针 对 不 同文 件 类 型 和 不 同 的 目录 进行 了 设置 ， 读 者 可 以 根据 自己 的 需求 进行 类 似 设 定 。 下 面 是 上 述 代 码 的 说 明 : 


“jpglgiflpnglswflfv|wmalwmvlasflmp3|mmflzip|tar” 表 示 对 以 .jpg、.gf、.png、.sSwf、.fv、.wma、.wmv、.asf、.mpb3、.mmf、.zip 和 .rat 为 后 缀 的 文件 实行 防盗 链 处 理 。 
“*.etiantian.org etiantian.org” 表 示 这 个 请 求 可 以 正常 访问 上 面 指定 的 文件 资源 。 
:让 他 中 内 容 的 意思 是 如 果 地 址 不 是 上 面 指定 的 地 址 就 跳 转 到 通过 rewrtite 指 定 的 地 址 ， 也 可 以 直接 通过 return 返 回 403 错 误 。 


“ return 403 为 自 定义 的 http 返 回 状态 码 。 


rewrite^/http://www.etiantian.org/img/nolink.jpg; ”表示 显示 一 张 防盗 链 图 片 。 
“ access_log off; 表示 不 记录 访问 日 志 ， 减 轻 压力 。 
“ expires 3d 指 的 是 所 有 文件 设置 3 天 的 浏览 器 缓存 。 


6.NginxHttpAccessKeyModule 实 现 防盗 链 介绍 


如 果 不 怕 麻 烦 ， 有 条 件 实现 的 话 ， 推 荐 使 用 NginxHttpAccessKeyModule。 


其 运行 方式 是 : 如 download 目 录 下 有 一 个 file.zip 的 文件 。 对 应 的 URIl 是 http://www.abc.com/download/file.zip， 使 用 ngx_http_accesskey_module 模 块 后 就 成 
了 http://www.abc.com/download/file.zipkey=09093abeac094， 只 有 正确 地 给 定 了 key 值 ， 才 能 下 载 download 目 录 下 的 file.zip， 而 且 key 值 是 与 用 户 的 IP 相 关 的 ， 这 样 就 可 以 避免 被 盗 链 了 。 据 说 ,， 现 
在 NginxHttpAccessKeyModule 连 迅雷 都 可 以 防 了 ， 读 者 可 以 尝试 一 下 。 


7. 在 产品 设计 上 解决 盗 链 方案 


产品 设计 时 ， 处 理 盗 链 问题 可 将 计 就 计 ， 为 网 站 上 传 的 图 片 增加 水 印 。 例 如 : 图 8-14 就 是 为 网 站 上 传 的 图 片 增加 的 水 印 。 


图 8-14 ”网 站 被 盗 链 后 的 提示 图 片 示 例 


为 图 片 添 加 版 权 水 印 是 很 有 效 的 方法 。 网 站 直接 转载 图 片 一 般 是 为 了 快捷 ， 但 是 对 于 有 水 印 的 图 片 ， 很 多 站 长 是 不 愿意 转载 的 。 


8.Nginx 防 盗 链 花絮 
下 面 实战 模拟 演示 盗 链 。 


1) 假定 blog.etiantian.com 是 非法 盗 链 的 网 站 域名 ， 先 编写 如 下 的 oldboy.html 程 序 : 


<html> 

<head> 

<title> 老 男孩 教育 

</title> 

</head> 

<body bgcolor=green> 老 男孩 的 博客 ! <br> 我 的 博客 是 <a href="http: //oldboy.blog.51cto.com" target=" blank"> 博 客 地 址 </a> 
<img src="http: //www.etiantian.org/stu.jpg"> 

</body> 

</html> 


这 个 非法 资 链 的 访问 地 址 是 http://blog.etiantian.com/oldboy.html， 网 站 里 会 加 载 vww.etiantian.org 网 站 的 图 片 stujpg， 即 盗用 该 网 站 图 片 并 消耗 了 www.etiantian.org 正 常 网 站 的 带宽 。 


2) 假定 我 们 维护 的 网 站 为 vww.etiantian.org， 设 定 一 张 存在 的 图 片 的 地 址 为 vww.etiantian.org/stujpg， 此 时 发 现 被 blog.etiantian.com 资 链 了 。 通 过 查看 流量 ,分 析 日 志 看 referfer， 就 可 以 看 到 
被 盗 链 的 具体 情况 。 


下 面 是 查看 Web 用 户 的 http_referer 的 实战 演示 。 


Nginx 日 志 格式 为 www.etiantian.org， 其 内 容 如 下 : 


log format main '$remote addr - $remote user [$time local] "$request" ' 
'$status $body bytes sent "$http referer™" ' 
'"$http user agent" "“$http x forwarded for"™'; 


当 资 链 的 网 站 blog.etiantian.com 访 问 我 们 的 站 点 时 ， 记 录 的 日 志 如 下 : 


[root@nginx conf]# tail -f http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/../logs/www_access.10og 
10.0.0.125 - - [10/Mar/2015: 19: 34: 15 +0800] "GET /stu.jpg HTTP/1.1" 200 68080 "http: //blog.etiantian.com/oldboy.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv: 29.0) Gecko 


我 们 自己 正常 访问 用 户 网 站 时 ， 站 点 记录 的 日 志 如 下 : 


10.0.0.125 - - [10/Mar/2015: 19: 37: 45 +0800] "GET /img/nolink.jpg HTTP/1.1" 304 0 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET 


对 比 可 知 ， 资 链 的 网 站 多 出 了 一 个 http_referer 的 信息 ， 即 “http://blog.etiantian.com/oldboy.html”， 表 示 使 用 我 们 网 站 资源 的 用 户 来 自 于 该 网 站 ， 也 就 是 该 站 资 链 了 网 站 www.etiantian.org 资 
源 。 


可 在 www.etiantian.org 网 站 下 设置 防盗 链 ，Nginx 的 方法 如 下 : 


#Preventing hot linking of ;images and other file types 
location ~* ^.+\. (jpglpng|swfl|flv|rar|zip) $ { 
valid referers none blocked *.etiantian.org etiantian.org; 
if (Sinvalid referer) { 
rewrite “7 http: //bbs.etiantian.org/img/nolink.gif; 


} 
root html/www; 


isa: 如 果 referers 不 是 *.etiantian.org etiantian.org; ， 给 它 一 个 http://bbs.etiantian.org/img/nolink.gif。 


此 外 ， 给 资 链 网 站 显示 的 图 片 域名 不 要 和 被 资 链 的 网 站 域名 一 样 。 也 就 是 http://bbs.etiantian.org/img/nolink.gif 里 面 的 bbs.etiantian.org 不 能 是 www.etiantian.org。 


3) 单独 搭建 一 个 虚拟 机 主机 bbs.etiantian.org， 指 定 盗 链 后 展示 的 图 片 为 http://bbs.etiantian.org/img/nolink.gif。 


上 面 演示 的 盗 链 操作 步骤 汇总 如 下 : 


@ 将 www.etiantian.org/stu.jpg 指 定 被 盗 链 的 图 片 地 址 。 


@ 将 http://bbs.etiantian.org/img/nolink.gif 指 定 资 链 后 展示 的 图 片 。 


@ 输 入 非法 资 链 网 站 提供 给 用 户 的 URL， 为 http://blog.etiantian.com/oldboy.html。 


在 没有 设置 资 链 之 前 ， 显 示 www.etiantian.org/stu.jpg， 设 置 资 链 后 ,会 显示 http://bbs.etiantian.org/img/nolink.gif 对 应 的 图 片 ， 但 地 址 还 是 资 链 的 地 址 。 


8.6 ”Nginx 错 误 页 面 的 优雅 显示 


8.6.1 生产 环境 常见 的 HTTP 状 态 码 列表 


企业 生产 环境 常见 的 HTTP 状 态 码 列表 如 表 8-2 所 示 。 


表 8-2 ”常见 的 HTTP 状 态 码 列表 


状态 代码 及 英文 描述 
200 - OK 


- Standard response for successful HTTP requests. 


301 - Moved Permanently 
- This and all future requests should be directed to the given. 


403 - Forbidden 

- forbidden request (matches a deny filter) => HTTP 403 

- The request was a legal request. but the server 1s refusing 
to respond to 1t. 

404 - Not Found 

- The requested resource could not be found but may be 
available again in the future. 

500 - Internal Server Error 

- internal error in haproxy => HTTP 500 

- A generic error message, given when no more specific 
message 1s suitable. 

502 - Bad Gateway 

- the server returned an invalid or incomplete response => 
HTTP 502 

- The server was acting as a gateway or proxy and received 
an invalid response from the upstream server. 

503 - Service Unavailable 

- no server was available to handle the request => HTTP 503 

- The server is currently unavailable (because 1t 1s overloaded 
or down for maintenance). 

504 - Gateway Timeout 

- the server failed to reply in time => HTTP 504 

- The server was acting as a gateway or proxy and did not 


receive a timely response from the upstream server. 


参考 资料 请 见 http://oldboy.blog.51cto.com/2561410/716294。 


代码 描述 

服务 器 成 功 返 回 网 页 ， 这 是 成 功 的 http 请 求 
返回 的 标准 状态 码 

永久 跳 转 ， 所 有 请 求 的 网 页 将 永久 跳 转 到 被 
设 定 的 新 位 置 ， 例 如 : 从 etiantian.org 跳 转 到 
Www.etiantian.org 

禁止 访问 ， 这 个 请 求 是 合法 的 ， 但 是 服务 器 
端 因为 匹配 了 预先 设置 的 规则 而 拒绝 响应 客户 
端的 请 求 ， 此 类 问题 一 般 为 服务 器 权限 配置 不 
当 所 致 


服务 器 找 不 到 客户 端 请 求 的 指定 页 面 ， 可 能 
是 客户 端 请 求 了 服务 器 不 存在 的 资源 所 导致 的 


内 部 服务 器 错误 ,服务 右 遇 到 了 意料 不 到 的 
情况 ， 不 能 完成 客户 的 请 求 。 这 蚌 一 个 较为 笼 
统 的 报错 ， 一 般 为 服务 器 的 设置 或 内 部 程序 问 
题 所 致 


坏 的 网 关 ， 一 般 是 代理 服务 器 请 求 后 端 服务 
时 ,后 端 服 务 不 可 用 或 没有 完成 啊 应 网 关 服 务 
天 。 一 般 为 代理 服务 器 下 面 的 节点 出 了 问题 所 致 


服务 当前 不 可 用 ， 可 能 为 服务 器 超载 或 停机 
维护 所 致 ， 或 者 是 代理 服务 需 后 面 没有 可 以 提 
供 服务 的 节点 


网 关 超时 ， 一 般 是 网 关 代 理 服务 顺 请 求 后 端 
服务 时 ， 后 端 服务 没有 在 特定 的 时 间 内 完成 处 
理 请 求 ， 一 般 为 服务 器 过 载 所 致 ， 没 有 在 指定 
的 时 间 内 返回 数据 给 代理 服务 带 


8.7 ”Nginx 站 点 目录 文件 及 目录 权限 优化 


1. 单 机 LNMP 环 境 目录 权限 严格 控制 措施 


为 了 保证 网 站 不 遭受 木马 入 侵 ， 所 有 站 点 目录 的 用 户 和 组 都 应 该 为 root， 所 有 的 目录 权限 是 755; 所 有 的 文件 权限 是 644。 设 置 如 下 : 


[root@www ~]# 1s -1 /var/html/blog/|tail -5 
-rw-r--r-- 1 root root 7712 5 月 2 2012 wp-mail.php 


“Ww - 1 root root 9916 4 月 27 2012 wp-settings.php 
—IrWw- - 1 root root 18299 4 月 21 2012 wp-signup.php 
EW 一 1 root root 3700 1 月 9 2012 wp-trackback.php 


~—rWw-r--r-- 1 root root 2788 2 月 17 2012 xmlrpc.php 


以 上 的 权限 设置 可 以 防止 黑客 上 传 木马 ， 以 及 修改 站 点 文件 ， 但 是 ,合理 的 网 站 用 户 上 传 的 内 容 也 会 被 拒 之 门 外 。 那 么 如 何 让 合法 的 用 户 可 以 上 传 文件 ， 而 又 不 至 于 被 黑客 利用 攻击 呢 ? 


如 果 是 单机 的 LNMP 环 境 ， 站 点 目录 和 文件 属性 设置 如 下 。 


先 把 所 有 的 目录 权限 设置 为 755， 所 有 的 文件 权限 设置 为 644， 所 用 的 目录 ， 以 及 文件 用 户 和 组 都 是 root; 然后 把 用 户 上 传 资源 的 目录 权限 设置 为 755， 将 用 户 和 组 设置 为 Nginx 服 务 的 用 户 ; 最 后 针对 
上 传 资源 的 目录 做 资源 访问 限制 (前 文 已 述 ) 。 


部 分 公司 所 采用 的 授权 方式 不 是 很 安全 ， 常 见 的 有 如 下 两 种 : 


* chmod-R 777/sitedir 


“ chown-R nginx.nginx/sitedir 


上 述 两 种 授权 方法 虽然 不 能 说 错误 ， 但 是 没有 做 到 授权 最 小 化 ， 会 给 网 站 带 来 非常 大 的 安全 隐患 ， 特 别 是 木马 入 侵 的 时 候 。 


在 比较 好 的 网 站 业务 架构 中 ， 应 把 资源 文件 ， 包 括 用 户 上 传 的 图 片 、 附 件 等 服务 和 程序 服务 分 离 ， 最 好 把 上 传 程序 服务 也 分 离 出 来 ， 这 样 就 可 以 从 容 地 按照 上 文 所 述 进行 安全 授权 了 。 


2.Nginx 企 业 网 站 集群 超级 安全 设置 


结合 Linux 权 限 体系 及 Nginx 大 型 集群 架构 进行 配置 ， 严 格 控制 针对 Nginx 目 录 的 访问 才能 降低 网 站 被 入 侵 的 风险 。 比 如 ， 可 根据 图 8-16 中 的 企业 集群 架构 逻辑 图 和 不 同 角色 提供 的 不 同 服务 来 严格 控制 
不 同 服务 器 的 Nginx 目 录 权 限 。 


\ : MySQL 数据 库 
记录 图 片 、 附 件 
的 路 径 和 文件 名 


上 传 页 面 中 
的 图 片 及 附件 
存储 帖子 和 
博文 的 内 容 


禁止 解析 .php..sh | 和 枉 厅 f644d755 root root 
; f644d755 web web 


些 止 解析 .php..sh..pl.py f644d 755 root root 
老 男孩 教育 ， 企业 标准 网 站 架构 优化 逻辑 图 =» 去 季 防 


图 8-16 ”专业 的 Nginx 集 群 架构 角色 还 辑 图 


表 8-3 为 集群 架构 中 不 同 于 前 面 Web 业 务 的 权限 管理 细 化 。 


表 8-3 集群 架构 中 不 同 角色 的 授权 具体 思路 说 明 


有 se 


目录 权限 755， 文件 权限 644， 所 用 的 目录 , 以 | 文件 不 能 被 改 ， 目 录 不 能 被 写 
及 文件 用 户 和 组 都 是 root。 环 境 为 Nginx+PHP 入， 安全 系数 10 

目录 权限 755， 文 件 权 限 644， 所 用 的 目录 ， 文件 不 能 被 改 ， 目 录 不 能 被 写 
及 文件 用 户 和 组 都 是 root。 环 境 为 Nginx 入 ， 安 全 系数 10 

文件 不 能 被 改 ， 目 录 不 能 被 写 
入 ， 但 是 用 户 上 传 的 目录 允许 写 人 


动态 Web 集群 


static 图 片 集群 


目录 权限 755， 文 件 权 限 644， 所 用 的 目录 ， 以 
上 传 upload 集群 | 及 文件 用 户 和 组 都 是 root。 特 别 : 用 户 上 传 的 目录 


文件 且 需 要 通过 Nginx 的 其 他 功能 


设置 为 755， 用 户 和 组 使 用 Nginx 服务 配置 的 用 户 | ， | | 
来 禁止 读 文件 ， 安 全 系数 8 


做 到 上 述 的 设置 后 ， 网 站 服务 在 系统 层面 被 入 侵 的 风险 就 大 大 降低 了 。 


8.8 Nginx 防 疏 虫 优化 


1.robots.txt 机 器 人 协议 介绍 


Robots 协 议 (也 称 为 肥 虫 协议 、 机 器 人 协议 等 ) 的 全 称 是 “网 络 公 虫 排除 标准 。 (Robots Exclusion Protocol) ， 网 站 通过 Robots 协 议 告诉 搜索 引擎 哪些 页 面 可 以 抓 取 ， 哪 些 页 面 不 能 抓 取 。 有 关 
Robots txt 的 配置 ， 本 书 不 会 详细 讲解 。 


2. 机 器 人 协议 八卦 


2011 年 10 月 25 日 ， 京 东 商 城 正式 将 一 淘 网 的 搜索 胞 虫 屏蔽 ， 以 防止 一 淘 网 对 其 内 容 进行 抓 取 ， 具体 措施 如 图 8-17 所 示 。 


2008 年 9 月 8 日 ， 淘 宝 网 宣布 封杀 百度 胞 虫 ， 百 度 忍痛 遵守 胞 虫 协议 。 因 为 一 旦 破坏 协议 ， 用 户 的 隐私 和 利益 就 无 法 得 到 保障 ， 搜 索 网 站 就 谈 不 上 人 性 关怀 。 


淘宝 的 robots.txt 设 置 如 下 : 


http: //www.taobao.com/robots.txt 
User-agent: Baiduspider 

Disallow: / 

User-agent: baiduspider 

Disallow: 


图 8-18 为 taobao.com Robots.txt 设 置 情况 。 


2012 年 8 月 ，360 综 合 搜索 被 指 违反 robots 协 议 (如 图 8-19 所 示 ) 。 


3.Nginx 防 怜 虫 优化 配置 


我 们 可 以 根据 客户 端的 user-agents 人 信息， 轻松 地 阻止 指定 的 的 虫 候 取 我 们 的 网 站 。 下 面 来 看 几 个 案例 。 


宽 收 基 去 = 总 i ee 到 本 自 定 % 


http:/ fwww,d.com/robots.txt 


User—-agent: 太 

Disallow: /?4 

Disallow: /pop/*. html 
Disallow: /pinpai/*. html?* 
User—-agent: EtaoSspider 
Disallow: / 


ji 于 主 8 Pa ol om oT 


User—agent: Baiduspider 


Disallow: / 


User—agent: baiduspider 
Disallow: / 


图 8-18 ”taobao.com Robots.txt 设 置 情况 


- 3 | www.360.cn/robots.txt 


User-agent: + 


Allow: / 


图 8-19 ”360.cn Robots.txt 设 置 情况 


范例 1: 阻止 下 载 协 议 代理 ,命令 如 下 : 


## Block download agents 拓 # 
if ($http user agent ~* LWP: : Simple|lBBBike|lwget) { 
return 403; 


} 


全 说 明 : 如 果 用 户 匹 配 了 if 后 面 的 客户 端 (例如 wget) ， 就 返回 403。 


这 里 根据 $http_user_agent 获 取 客 户 端 agent， 然 后 判断 是 否 允 许 或 返回 指定 错误 码 。 


范例 2: 添加 内 容 防止 N 多 爬虫 代理 访问 网 站 ， 命 令 如 下 : 


这 些 候 虫 代 理 使 用 “|” 分隔 ， 具 体 要 处 理 的 代 虫 可 以 根据 需求 增加 或 减少 ， 添 加 的 内 容 如 下 : 


if ($http user agent 


了 

"qihoobot |Baiduspider|Googlebot |Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-GooglelYahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider1MSNBo 
return 403; 

} 


范例 3: 测试 禁止 不 同 的 浏览 器 软件 访问 。 


示例 代码 如 下 : 


if ($http user agent ~* "Firefox|MSIE") 


rewrite ^(.*) http: //blog.etiantian.org/$1 permanent; 
} 


如 果 浏 览 器 为 Firefox 或 IE， 就 会 跳 转 到 http://blog.etiantian.org。 


8.9 利用 Nginx 限 制 HTTP 的 请 求 方法 


在 前 文 的 HTTP 原 理 一 节 ， 讲 解 了 很 多 HTTP 方 法 ， 其 中 最 常用 的 HTTP 方 法 为 GET、POST， 我 们 可 以 通过 Nginx 限 制 HTTP 请 求 的 方法 来 达到 提升 服务 器 安全 的 目的 ， 例 如 ， 让 HTTP 只 能 使 用 GET、 
HEAD 和 POST 方法 的 配置 如 下 : 


#0nly allow these request methods 
if ($request method ! ~ ^ (GET|IHEADIPOST) $ ) { 
return 501; 
} 
#Do not accept DELETE, SEARCH and other methods 


在 前 文中 ， 当 上 传 服务 器 上 传 数 据 到 存储 服务 器 时 ， 用 户 上 传 写 入 的 目录 就 不 得 不 给 Nginx 对 应 的 用 户 相关 权限 ， 这 样 一 旦 程序 有 漏洞 ， 木 马 就 有 可 能 被 上 传 到 服务 器 挂 载 的 对 应 存储 服务 器 的 目录 
里 ,虽然 我 们 也 做 了 禁止 PHP、SH、PL、PY 等 扩展 名 的 解析 限制 ， 但 还 是 会 遗漏 一 些 想不到 的 可 执行 文件 。 对 于 这 种 情况 ， 该 怎么 办 呢 ? 事实 上 ， 还 可 以 通过 限制 上 传 服务 器 的 Web 服 务 (可 以 具体 到 ] 文 
件 ) 使 用 GET 方 法 ， 防 止 用 户 通过 上 传 服务 器 访问 存储 内 容 ， 让 访问 存储 渠道 只 能 从 静态 或 图 片 服务 器 入 口 进入 。 例 如 ， 在 上 传 服务 器 上 限制 HTTP 的 GET 方 法 的 配置 如 下 : 


## Only allow GET request methods 扯 
if ($request method ~* ^ (GET) $ ) { 
return 501; 
} 


人 是 示 : 还 可 以 0 一 层 location， 更 具体 地 限制 文件 名 。 


实际 效果 如 图 8-20 所 示 。 


€ 2 CC Dwww.etiantian.org/test.html 


8-20 ”禁止 HTTP GET 方 法 的 实际 访问 效果 


8.10 使 用 CDN 做 网 站 内 容 加 速 


8.10.1 什么 是 CDN 


CDN 的 全 称 是 Content Delivery Network， 中 文 意思 是 内 容 分 发 网 络 。 简 单 地 齐 ， 通 过 在 现 有 的 Internet 中 增加 一 层 新 的 网 络 架构 ， 将 网 站 的 内 容 发 布 到 最 接近 用 户 的 Cache 服 务 器 内 ， 通 过 智能 DNS 
负载 均衡 技术 ， 判 断 用户 的 来 源 ， 让 用 户 就 近 使 用 与 服务 器 相同 线路 的 带宽 访问 Cache 服 务 器 ， 取 得 所 需 的 内 容 。 例 如 : 天 津 网 通用 户 访问 天 津 网 通 Cache 服 务 器 上 的 内 容 ， 北 京 电信 访问 北京 电信 Cache 
服务 器 上 的 内 容 。 这 样 可 以 有 效 减少 数据 在 网 络 上 传输 的 时 间 ， 提 高 访问 速度 。 


CDN 是 一 套 全 国 或 全 球 的 分 布 式 缓存 集群 ， 其 实质 是 通过 智能 DNS 判断 用 户 的 来 源 地 域 及 上 网 线路 ， 为 用 户 选择 一 个 最 接近 用 户 地 域 ， 以 及 和 用 户 上 网 线路 相同 的 服务 器 节点 ， 因 为 地 域 近 ， 且 线路 相 
同 ， 所 以 ， 可 以 大 幅 提升 用 户 浏览 网 站 的 体验 。 


CDN 产 生 背 景 之 一 : BGP 机 房 虽然 可 以 提升 用 户 体验 ， 但 是 价格 昂贵 ， 对 于 用 户 来 说，CDN 的 诞生 可 以 提供 比 BGP 机 房 更 好 的 体验 (让 同一 地 区 、 同 一 线路 的 用 户 访问 和 当地 同一 线路 的 网 站 ) ，BGP 
机 房 和 普通 机 房 有 将 近 5~10 倍 的 价格 差 。CDN 多 使 用 单线 的 机 房 ， 根 据 用 户 的 线路 及 位 置 ， 为 用 户 选 择 靠近 用 户 的 位 置 ， 以 及 相同 的 运营 商 线路 ， 不 但 提升 了 用 户 体验 ， 价 格 也 降下 来 了 。 


CDN 的 价值 : 


“为 架设 网 站 的 企业 省 钱 。 


“ 提升 企业 网 站 的 用 户 访问 体验 (相同 线路 、 相 同 地 域 、 内 存 访问 ) 。 


“ 可 以 阻挡 大 部 分 流量 攻击 ， 例 如 : DDOS 攻 击 。 


经 常 有 朋友 问 老 男孩 ,日 100 万 PV 的 架构 如 何 设计 ? 对 于 这 样 的 问题 ， 下 面 简单 为 大 家 解答 思路 : 首先 应 尽量 考虑 把 网 站 数据 放 到 CDN 中 缓存 ， 这 样 计 算 在 网 站 的 总 流量 、 总 访问 量 后 减 去 CDN 的 访问 
流量 ， 剩 下 的 访问 量规 模 需 要 的 架构 才 是 我 们 需要 设计 考虑 的 。 一 个 良好 的 网 站 架构 设计 ， 访 问 量 尽量 都 交 给 CDN。 


8.11 Nginx 程 序 架构 优化 


解 耦 是 开发 人 员 中 流行 的 一 个 名 词 ， 简 单 地 说 就 是 把 一 堆 程 序 代 码 按照 业务 用 途 分 开 ， 然 后 提供 服务 ， 例 如 : 注册 登录 、 上 传 、 下 载 、 浏 览 列 表 、 商 品 内 容 页 面 、 订 单 支付 等 都 应 该 是 独立 的 程序 服 
务 ， 只 不 过 在 客户 端 看 来 是 一 个 整体 而 已 。 如 果 中 小 公司 做 不 到 上 述 细致 的 解 厢 ， 起 码 也 要 让 下 面 的 几 个 程序 模块 独立 。 


“ 网 页 页 面 服务 。 


片 附件 及 下 载 服务 。 


" 上 传 图 片 服务 。 


上 述 三 者 的 功能 尽量 分 离 。 分 离 的 最 佳 方式 是 分 别 使 用 独立 的 服务 器 (需要 改动 程序 ) ， 如 果 程序 实在 不 易 更 改 ， 次 选 方案 是 在 前 端 负 载 均衡 器 Haproxy/Nginx 上 ， 根 据 URI (例如 目录 或 扩展 名 ) 过 
滤 请 求 ， 然 后 抛 给 后 面 对 应 的 服务 器 。 


例如 : 根据 扩展 名 分 发 ， 请 求 http://www.etiantian.org/a/b.jpg 就 应 抛 给 图 片 服务 器 (独立 的 静态 服务 器 最 适合 使 用 CDN) ; 根据 URL 路 径 分 发 ， 请 
求 http://www.etiantian.org/upload/index.php 就 应 抛 给 上 传 服务 器 。 不 符合 上 面 两 个 要 求 的， 默认 抛 给 Web 服 务 器 。 


图 说 明 : 可 以 部 署 3 台 服 务 器 ， 人 为 分 布 请 求 服务 器 。 当 然 了 ， 这 适合 并 发 比较 高 、 服 务 器 较 多 的 情况 。 程 序 架 构 分 离 了 ， 效 率 、 安 全 性 都 会 提高 很 多 。 


8.12 ”使 用 普通 用 户 启动 Nginx (监牢 模式 ) 


8.12.1 为 什么 要 让 Nginx 服 务 使 用 普通 用 户 


默认 情况 下 ，Nginx 的 Master 进 程 使 用 的 是 root 用 户 ，worker 进 程 使 用 的 是 Nginx 指 定 的 普通 用 户 ， 使 用 root 用 户 跑 Nginx 的 Master 进 程 有 两 个 最 大 的 问题 : 


“ 管理 权限 必须 是 root， 这 就 使 得 最 小 化 分 配 权 限 原则 遇 到 难题 。 


“ 使 用 root 跑 Nginx 服 务 ， 一 旦 网 站 出 现 漏洞 ， 用 户 就 可 以 很 容易 地 获得 服务 器 的 toot 权 限 。 


因此 ， 老 男孩 想 出 了 一 种 不 用 给 开发 人 员 ， 甚 至 普通 运 维 人 员 管 理 员 权限 ， 就 可 以 很 好 地 管理 Nginx 服 务 的 方法 ， 具 体内 容 将 在 下 节 为 大 家 讲解 。 


8.13 控制 Nginx 并 发 连接 数量 


ngx_http_limit conn_module 这 个 模块 用 于 限制 每 个 定义 的 key 值 的 连接 数 ， 特 别 是 单 |P 的 连接 数 。 


不 是 所 有 的 连接 数 都 会 被 计数 。 一 个 符合 计数 要 求 的 连接 是 整个 请 求 头 已 经 被 读 取 的 连接 。 
控制 Nginx 并 发 连接 数量 参数 的 说 明 如 下 : 

1) limit_conn_zone 参 数 : 

语法 : limit conn_zone key zone=name: size; 


上 下 文 : http 


于 设置 共享 内 存 区 域 ，key 可 以 是 字符 串 、Nginx 自 带 变量 或 前 两 个 组 合 ， 如 $binary_remote_addr、$server name。name 为 内 存 区 域 的 名 称 ，size 为 内 存 区 域 的 大 小 。 


2) limit conn 参 数 : 
语法 : limit conn zone number; 


上 下 文 : http、server、location 


于 指定 key 设 置 最 大 连接 数 。 当 超过 最 大 连接 数 时 ， 服 务 器 会 返回 503 (Service Temporarily Unavailable) 错误 。 


1. 限 制 单 IiP 并 发 连接 数 


Nginx 的 配置 文件 如 下 : 


[root@oldboy ~]# cat /application/nginx/conf/nginx.conf 
worker processes 1; 
events { 

worker connections 1024; 


} 


http { 
include mime.types; 
default type application/octet-stream; 
sendfile on; 


keepalive timeout 65; 
limit conn zone $binary remote addr zone=addr: 10m; 
server { 
listen 80; 
Server name www.etiantian.org; 
location / { 
root html; 


index index.html index.htm; 
limit_conn adqr 1; #<== 限 制 单 IE 的 并 发 连接 为 1 


在 客户 端 10.0.0.5 使 用 Apache 的 ab 测试 工具 进行 测试 。 


测试 1: 模拟 并 发 连接 1， 访 问 10 次 服务 器 ， 即 执行 ab-c 1-n 10 http://10.0.0.3/ 进 行 测试 。 


图 注意 : -c 为 并 发 数 ，-n 为 请 求 总 数 ，10.0.0.3 为 Nginx 的 |pP 地 址 。 


测试 过 程 中 查看 Nginx 的 访问 日 志 ， 结 果 如 下 : 


[root@oldboy ~]# tailf /application/nginx/logs/access.10g 
人 31 


10.0.0.5 - - [14/Sep/2015: 11: 50: +0800] "GET / HTTP/1.0" 200 612 "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 50: 31 +0800] "GET / HTTP/1.0" 200 612 5 
10.0.0.5 - - [14/Sep/2015: 11: 50; 31 +0800] "GET / HTTP/1.0" 200 612 5 
10.0.0.5 - - [14/Sep/2015: 11: 50: 31 +0800] "GET / HTTP/1.0" 200 612 " 253 
10.0.0.5 - - [14/Sep/2015: 11: 50: 31 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 50: 31 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.05 [14/Sep/2015: 11: 50: 31 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 50: 31 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 50: 31 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 50: 31 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 


根据 上 述 日 志 可 以 看 出 当 并 发 为 时， 返回 值 都 是 200， 即 访问 正常 。 


测试 2: 模拟 并 发 连接 2， 访 问 


10 次 服务 器 ， 即 执行 ab-c 2-n 10 http://10.0.0.3/ 进 行 测试 。 


测试 过 程 中 查看 Nginx 的 访问 日 志 ， 结 果 如 下 : 

10.0.0.5 [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 
10.0.0.5 [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 52: 15 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 
可 以 看 到 状态 码 200 与 503 间 隔 1: 1 出 现 ， 即 Nginx 已 经 做 了 并 发 连接 限制 ， 对 超过 限制 的 请 求 返回 503。 


测试 3: 模拟 并 发 连接 3， 访 问 10 次 服务 器 ， 即 执行 ab-c3-n 10 http://10.0.0.3/ 进 行 测试 。 


测试 过 程 中 查看 Nginx 的 访问 


志 ， 结 果 如 下 : 


10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 503 212 ， .3" 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 503 212 ,37 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 200 612 :38 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 200 612 .3 
10.0.0.5 - - [14/Sep/2015: 11: 53: 59 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 
由 于 采用 的 样本 小 ， 所 以 出 现 的 次 数 并 不 均衡 。 但 看 其 中 间 数 据 ，200 与 503 出 现 的 次 数 为 1: 2， 即 Nginx 已 经 做 了 并 发 连接 限制 ， 对 超过 限制 的 请 求 返 回 503。 


以 上 功能 的 应 用 场景 之 一 是 用 于 服务 器 下 载 ， 命 令 如 下 : 


location /download/ { 
limit conn addr 1; 
} 


上 面 的 命令 限制 访问 download 下 载 目录 的 连接 数 ， 该 连接 数 为 1。 


2. 限 制 虚拟 主机 总 连接 数 


不 仅 可 以 限制 单 IP 的 并 发 连接 数 ， 还 可 以 限制 虚拟 主机 总 连接 数 ， 甚 至 可 以 对 两 者 同时 限制 。Nginx 的 配置 文件 如 下 : 


[root@oldboy ~]# cat /application/nginx/conf/nginx.conf 
worker processes 1; 
events { 

worker connections 1024; 


} 


http { 
include mime.types; 
default type application/octet-stream; 
sendfile on; 


keepalive timeout 65; 
limit conn zone $binary remote addr zone=addr: 10m; 
limit conn zone $server name zone=perserver: 10m; 
server { 
listen 80; 
Server name www.etiantian.org; 
location / { 
Toot html; 
index index.html index.htm; 
#1limit conn adqr 1; 
limit_conn perserver 2; #<==- 设 置 虚拟 主机 连接 数 为 2 


@ia: Nginx 的 内 部 变量 列表 见 官网 http://nginx.org/en/docs/varindex.html。 


测试 : 执行 ab-c 5-n 1000 http://10.0.0.3/ 进 行 测试 ， 即 并 发 连接 数 为 5， 访 问 1000 次 。 


统计 日 志 中 200 与 503 出 现 的 次 数 (测试 前 清空 日 志 ， 测 完 将 日 志 复 制 到 root 家 目录 ) 如 下 : 


[root@oldboy ~]# grep -c 200 access.1og 
634 
[root@oldboy ~]# grep -c 503 access.1og 
366 


结论 : 出 现 的 次 数 近似 为 2: 1。 


至 此 ，Nginx 限 制 连 接 数 的 应 用 实践 就 讲解 完毕 了 。 


更 多 内 容 可 参考 : http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html。 


8.14 ”控制 客户 端 请 求 Nginx 的 速率 


ngx_http_limit_req_module 模 块 用 于 限制 每 个 IP 访 问 每 个 定义 key 的 请 求 速率 。limit_req_zone 参 数 说 明 如 下 。 
语法 : limit_req_zone key zone=name: size rate=rate; 


上 下 文 : http 


imit_req 参 数 说 明 如 下 : 
语法 : limit_req zone=name[burst=numberl[nodelay]; 


上 下 文 : http、server、location 


这 里 运用 了 令 牌 桶 原理 ，burst=num， 一 共有 num 块 令 牌 ， 令 牌 发 完 后 ， 多 出 来 的 那些 请 求 就 会 返回 503。 


中 


换 名 话说， 一 个 银行 ， 只 有 一 个 营业 员 ， 银 行 很 小 ， 等 候 室 只 有 5 个 人 的 位 置 。 因 此 ， 营 业 员 一 个 时 刻 只 能 为 一 个 人 提供 服务 ， 剩 下 的 不 超过 5 个 人 可 以 在 银行 内 等 待 ， 超 出 的 人 不 提供 服务 ， 


503。 


nodelay 默 认 在 不 超过 burst 值 的 前 提 下 会 排队 等 待 处 理 ， 如 果 使 用 此 参数 ， 就 会 处 理 完 num+ 1 次 请 求 ， 剩 余 的 请 求 都 视 为 超时 ， 返 回 503。 


于 测试 的 Nginx 配 置 文件 如 下 : 


于 设置 共享 内 存 区 域 ，key 可 以 是 字符 串 、Nginx 自 带 变量 或 前 两 个 组 合 ， 如 $binary_remote_addr。name 为 内 存 区 域 的 名 称 ，size 为 内 存 


区 域 的 大 小 ， 


rate 为 速率 ， 


单位 为 r/s， 


每 秒 一 个 


请 求 。 


直接 返回 


root@oldboy ~]# cat /application/nginx/conf/nginx.conf 
worker processes 1; 

events { 

worker connections 1024; 


} 


http { 
include mime .types; 
default type application/octet-stream; 
sendfile on; 


keepalive timeout 65; 
limit req zone $binary remote addr zone=one: 10m rate=1r/s; 
#<= 一 以 请 求 的 客户 端 TP 作 为 Key 值 ， 内 存 区 域 命 名 为 one， 分 配 10m 内 存 空间 ， 访 问 速 率 限 制 为 1 秒 1 次 请 求 (request) 
server { 
listen 80; 
Server name www.etiantian.org; 
location / { 
root html; 
index index.html index.htm; 
limit req zone=one burst=5; 


#<== 使 用 前 面 定义 的 名 为 one 的 内 存 空间 ， 队 列 值 为 5， 即 可 以 有 5 个 请 求 排 队 等 待 
E 
} 


测试 1: 执行 ab-c 4-n 1000 http://10.0.0.3/ 和 ab-c 5-n 1000 http://10.0.0.3/ 进 行 测试 ， 命 令 及 结果 如 下 : 


[root@oldboy ~]# tailf ME et log 


10.0.0.5 - - [14/Sep/2015: 13: 50: 19 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 
10.0.0.5 - -~ [14/Sep/2015: 13: 50: 部 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 13: 50: 21 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 13: 50: 22 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 13: 50: 23 +0800] "GET / HTTP/1.0" 200 612 " "ApacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 13: 50: 24 +0800] "GET / HTTP/1.0" 200 612 " pacheBench/2.3" 
10.0.0.5 - - [14/Sep/2015: 13: 50: 25 +0800] "GET / HTTP/1.0" 200 612 " ApacheBench/2.3"…. 


可 以 发 现 ， 访 问 日 志 中 的 时 间 和 请 求 是 1 秒 钟 1 条 请 求 ， 证 明 配置 生效 。 


测试 2: 执行 ab-c 6-n 1000 http://10.0.0.3/ 进 行 测试 。 


统计 日 志 中 的 200 与 503 出 现 的 次 数 (测试 前 已 清空 日 志 ， 测 完 将 日 志 复 制 到 root 家 目录 ) 如 下 : 


[root@oldboy ~]# grep -c 200 access.1og 
6 


[root@oldboy ~]# grep -c 503 access.1og 


994 
[root@oldboy ~]# more access.1og 

10.0.0.5 - 14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 200 612 Be 

10.0.0.5 - - [14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 503 212 Be 

10.0.0.5 - - [14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 503 212 " 外 

10.0.0.5 - - [14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 

10.0.0.5 - - [14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 

10.0.0.5 - - [14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3".…… 省 略 若干 ………… 省 略 若干 …… 
10.0.0.5 - - [14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 

10.0.0.5 - - [14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 

10.0.0.5 - - [14/Sep/2015: 13: 48: 42 +0800] "GET / HTTP/1.0" 503 212 "-" "ApacheBench/2.3" 

10.0.0.5 - - [14/Sep/2015: 13: 48: 43 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 

10.0.0.5 - - [14/Sep/2015: 13: 48: 44 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 

10.0.0.5 - - [14/Sep/2015: 13: 48: 45 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 

10.0.0.5 - - [14/Sep/2015: 13: 48: 46 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 

10.0.0.5 - 14/Sep/2015: 13: 48: 47 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3" 


通过 过 滤 排 重 及 部 分 日 志 ， 可 以 看 到 第 一 个 请 求 返回 200， 为 正常 处 理 ， 剩 余 的 994 次 超过 限制 的 请 求 在 1 秒 内 执行 完成 ， 但 是 都 返回 了 503。 


具 


人 体 过 程 原 理 为 : Nginx 在 第 1 秒 先 处 理 第 一 个 请 求 ， 同 时 接 下 来 的 5 个 请 求 等 待 排 了 从， 剩 下 的 所 有 (994 次 ) 请 求 返回 503。 接 着 第 2 秒 到 第 6 秒 处 理 等 待 的 5 个 请 求 。 


更 多 内 容 可 参考 : http://nginx.org/en/docs/http/ngx_http _limit_req_module.html。 


8.15 ”本 章 重点 回顾 
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8) 


安全 优化 : 隐藏 Nginx 软 件 名 及 版 本 号 。 


性 能 加 安全 优化 : 连接 超时 参数 及 FastCGI 相 关 参 数 调 优 。 


性 能 优化 : gzip 压 缩 功 能 及 调试 查看 方法 。 


性 能 优化 : expires 缓 存 功能 及 调试 查看 方法 。 


5) 安全 优化 : 集群 中 各 角色 服务 站 点 目录 权限 控制 策略 。 


安全 优化 : 站 点 目录 下 所 有 的 文件 和 目录 访问 控制 。 


性 能 加 安全 优化 : robots.txt 协 议 及 防 爬 虫 优化 解决 方案 。 


则 


能 加 安全 优化 : 静态 资源 防盗 链 解决 方案 。 


9) 用 户 体验 优化 : 错误 页 面 优雅 显示 方法 。 


10) 安全 优化 : 限制 http 请 求 方法 。 
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) 


性 能 加 安全 优化 : CDN 加 速 知识 。 


12) 安全 优化 : 监牢 模式 运行 Nginx 方 案 策略 。 
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9.1 


纪 1.] 


) 


性 能 加 安全 优化 : Nginx 并 发 连接 数 及 请 求 速率 控制 。 


第 9 章 “MySQl 数 据 库 企 业 级 应 用 实践 


概述 


MySQL 介 绍 


ED 


面 已 经 介绍 过 ，MySQL 属 于 传统 关系 型 数据 库 产品 ， 它 开放 式 的 架构 使 得 用 户 选择 性 很 强 ， 同 时 社区 开发 与 维护 人 数 众 多 。 其 功能 稳定 ， 性 能 卓越 ， 
改 ， 也 为 MySQL 的 推广 与 使 用 带 来 了 更 多 的 利好 。 在 MySQL 成 长 与 发 展 过 程 中 ， 支 持 


的 功能 逐渐 增多 ， 性 能 也 不 断 提 高 ， 对 平台 的 支持 也 越 来 越 多 。 


在 遵守 GPL 协议 的 前 提 下 ， 可 以 免费 使 用 与 修 


MySQL 是 一 种 关系 型 数据 库 管理 系统 ， 关 系 型 数据 库 的 特点 是 将 数据 保存 在 不 同 的 表 中 ， 再 将 这 些 表 放 入 不 同 的 数据 库 中 ， 而 不 是 将 所 有 数据 统一 放 在 一 个 大 仓库 里 ， 这 样 的 设计 增加 了 MySQL 的 读 


取 速 度 ， 而 且 灵 活性 和 可 管理 性 也 得 到 了 很 大 提高 。 访 问 及 管理 MySQL 数 据 库 的 最 常 


9.1 


gual 


标准 化 语言 为 SQL 结 构 化 查询 语言 。 


第 9 章 ” ”MySQL 数据库 企业 级 应 用 实践 


概述 


MySQL 介 绍 


ED 


MySQL 是 一 种 关系 型 数据 库 管 理 系统 ， 关 系 于 
取 速 度 ， 而 且 灵 活性 和 可 管理 性 也 得 到 了 很 大 提高 。 访 问 及 管理 MySQL 数 据 库 的 最 常 


面 已 经 介绍 过 ，MySQL 属 于 传统 关系 型 数据 库 产品 ， 它 开放 式 的 架构 使 得 用 户 选择 性 很 强 ， 同 时 社区 开发 与 维护 人 数 众 多 。 其 功能 稳定 ， 性 能 卓越 ， 
改 ， 也 为 MySQL 的 推广 与 使 用 带 来 了 更 多 的 利好 。 在 MySQL 成 长 与 发 展 过 程 中 ， 支 持 


的 功能 逐渐 增多 ， 性 能 也 不 断 提 高 ， 对 平台 的 支持 也 越 来 越 多 。 


9.2 ”MySQL 多 实例 介绍 


标准 化 语言 为 SQL 结 构 化 查询 语言 。 


在 本 书 第 6 章 ， 已 经 针对 MySQL 数 据 库 进 行 了 介绍 ， 并 说 明了 为 什么 要 选择 MySQl 数 据 库 ， 以 及 MySQl 数 据 库 在 Linux 系 统 下 的 多 种 安装 方式 ， 同 时 讲解 了 MySQL 的 二 进 制 方式 和 


竺 内容， 本章 将 为 大 家 讲解 更 为 实用 的 MySQL 多 实例 安装 、 主 从 复制 集群 等 重要 应 


在 遵守 GPL 协 议 的 前 提 下 ， 可 以 免费 使 用 与 修 


LU 数据 库 的 特点 是 将 数据 保存 在 不 同 的 表 中 ， 再 将 这 些 表 放 入 不 同 的 数据 库 中 ， 而 不 是 将 所 有 数据 统一 放 在 一 个 大 仓库 里 ， 这 样 的 设计 增加 了 MySQL 的 读 


实例 安装 、 基 础 优化 


9.3 MySQL 多 实例 的 生产 应 用 场景 


1. 资 金 紧张 型 公司 的 选择 


若 公司 资金 紧张 ， 公 司 业务 访问 量 不 太 大 ， 但 又 希望 不 同业 务 的 数据 库 服务 各 自尽 量 独立 地 提供 服务 而 互相 不 受 影响 ， 同 时 ， 还 需要 主 从 复制 等 技术 提供 备份 或 读 写 分 离 服 务 ， 那 么 ， 多 实例 就 再 好 不 
过 了 。 例 如 : 可 以 通过 3 台 服 务 器 部 署 9~ 15 个 实例 ， 交 叉 做 主 从 复制 、 数 据 备份 及 读 写 分 离 ， 这 样 就 可 达到 9~ 15 台 服务 器 每 个 只 装 一 个 数据 库 才 有 的 效果 。 这 里 要 强调 的 是 ， 所 谓 的 尽量 独立 是 相对 的 。 


2. 并 发 访问 不 是 特别 大 的 业务 


当 公司 业务 访问 量 不 太 大 的 时 候 ， 服 务 器 的 资源 基本 上 都 浪费 了 ， 这 时 就 很 适合 多 实例 的 应 用 ， 如 果 对 SQL 语句 的 优化 做 得 比较 好 ，MySQL 多 实例 会 是 一 个 很 值得 使 用 的 技术 ， 即 使 并 发 很 大 ， 合 理 分 
配 好 系统 资源 ， 搭 配 好 服务 ， 也 不 会 有 太 大 问题 。 


3. 门 户 网 站 应 用 MySQL 多 实例 场景 


门户 网 站 通常 都 会 使 用 多 实例 ， 因 为 配置 硬件 好 的 服务 器 ， 可 节省 IDC 机 柜 空间 ， 同 时 ， 跑 多 实例 也 会 减少 硬件 资源 忠 不 满 的 浪费 。 比 如 ， 百 度 公司 的 很 多 数据 库 都 是 多 实例 ， 不 过 ， 一 般 是 从 库 多 实 
例 ， 例 如 某 部 门 中 使 用 的 IBM 服 务 器 为 48 核 CPU， 内 存 96GB， 一 台 服 务 器 跑 3~4 个 实例 ， 此 外 ， 新 浪 网 使 用 的 也 是 多 实例 ， 内 存 48GB 左 右 。 


wg: 据 老 男孩 调查 ,新浪 网 的 数据 库 单机 1~4 个 数据 库 实例 的 居多 ， 其 中 又 数 1~2 个 的 最 多 ， 因 为 大 业务 占用 的 机 器 比较 多 。 服 务 器 是 DELL R510 的 居多 ，CPU 是 E5210，48GB 内 存 ， 磁盘 
12x300G SAS， 做 RAID10， 此 为 门户 网 站 的 服务 器 配置 参考 ， 希 望 能 给 读者 购买 服务 器 及 部 署 实 例 一 点 数据 帮助 。 


另外 ， 新 浪 网 站 安装 数据 库 时 ， 一 般 采 用 编译 安装 的 方式 ， 并 且 会 在 优化 之 后 做 成 rpm 包 ， 以 便 统一 使 用 [1]。 


[由 老 男 孩 面 授课 程 中 会 讲解 pm 包 定 制 及 yum 仓 库 搭建 技术 。 读 者 也 可 以 参考 老 男 孩 内 部 的 360 云 盘 分 享 : http://yunpan.cn/cjJ4rWaT8bVRS， 提 取 码 为 le89， 里 面 是 :pm 包 制作 的 内 部 免费 视频 与 yum 仓 库 搭建 
速成 ， 以 及 相关 打包 知识 。 


9.4 ”MySQL 多 实例 常见 的 配置 方案 


9.4.1 单一 配置 文件 、 单 一 启动 程序 的 多 实例 部 署 方案 


下 面 是 MySQL 官 方 文档 提 到 的 单一 配置 文件 、 单 一 启动 程序 多 实例 部 署 方案 ， 老 男孩 不 推荐 此 方案 ， 这 里 仅 作为 知识 点 提 及 ， 后 文 不 再 涉及 此 方案 的 说 明 。my.cnf 配 置 文件 示例 (MySQL 手册 里 提 到 
的 方法 ) 如 下 : 


[mysqld multi] 


mysqld = /usr/bin/mysqld safe 
mysqladmin = /usr/bin/mysqladmin 
user = mysql 

[mysqlg1] 

socket = /var/lib/mysql/mysql.sock 
port = 3306 

pid-file = /var/lib/mysql/mysql.pid 
datadir = /var/lib/mysql/ 

user = mysql 

[mysqlg2] 

socket = /mt/data/dbl/mysql.sock 
port = 3302 

pid-file = /mt/data/dbl/mysql.pid 
datadir = /mt/data/db1/ 

user = mysql 


skip-name-resolve 

server-id=10 
default-storage-engine=innodb 
innodb buffer pool size=512M 
innodb additional mem pool=10M 
default character set=utf8 
Character set server=utf8 
#read-only 
relay-1l0g-space-1limit=3G 
expire logs day=20 


启动 程序 的 命令 如 下 : 


mysqld multi --config-file=/data/mysql/my multi.cnf start 1, 2 


该 方案 的 缺点 是 奈 合 度 太 高 ， 一 个 配置 文件 ， 不 好 管理 。 工 作 开发 和 运 维 的 统一 原则 为 降低 奈 合 度 。 


9.5 ”安装 并 配置 多 实例 MySQL 数 据 库 


9.5.1 安装 MySQL 多 实例 


1. 安 装 MySQL 需 要 的 依赖 包 和 编译 软件 


(1) 安装 MySQL 需 要 的 依赖 包 


安装 MySQL 之 前 ， 最 好 先 安装 MySQL 需 要 的 依赖 包 ， 不 然后 面 会 出 现 很 多 报错 信息 ， 到 那 时 还 得 再 回来 安装 MySQL 的 依赖 包 。 安 装 命令 如 下 : 


[root@MySQL ~]# yum install ncurses-devel libaio-devel -y 
[root@MySQL ~]# rpm -qa ncurses-devel libaio-devel 
libaio-devel-0.3.107-10.e16.x86 64 
ncurses-devel-5.7-3.20090208.e16.x86_64 


@ 提 示 : 安装 后 检查 ， 如 果 出 现 两 行 信息 表示 安装 成 功 。 


(2) 安装 编译 MySQL 需 要 的 软件 


首先 通过 网 络 或 老 男孩 提供 的 云 盘 或 QQ 群 下 载 相关 的 cmake 软 件 ， 上 传 到 Linux 里 ， 也 可 找到 网 络 下 载 地 址 后 直接 在 Linux 里 使 用 wget 下 载 ， 然 后 进行 如 下 操作 : 


[root@MySQL tools]# ls -lh cmake-2.8.8.tar.gz 

-rw-r--r-- 1 root root 5.5M 6 月 7 15: 48 cmake-2.8.8.tar.gz #<== 此 软件 需要 提前 下 载 好 

[root@MySQL tools]# tar xf cmake-2.8.8.tar.gz 

[root@MySQL tools]# cd cmake-2.8.8 

[root@MySQL cmake-2.8.8]# ./configure #<== 无 需 加 任何 参数 

[root@MySQL cmake-2.8.8]# gmake 

[root@MySQL cmake-2.8.8]# gmake install 

[root@MySQL cmake-2.8.8]# which cmake 

/usr/local/bin/cmake 

[root@MySQL cmake-2.8.8]# cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 


2. 开 始 安装 MySQL 


为 了 让 大 家 学 习 更 多 的 MySQL 技 术 ， 本 文选 择 了 以 相对 复杂 的 源 代码 安装 为 例 来 讲解 MySQL 多 实例 的 安装 。 大 型 公司 一 般 都 会 将 MySQL 软 件 定制 成 pm 包 ， 然 后 放 到 yum 仓 库 里 ， 使 用 yum 安 装 ， 中 


小 企业 里 的 二 进 制 和 编译 安装 的 区 别 不 大 。 


(1) 建立 MySQL 用 户 账号 


首先 以 root 身 份 登录 到 Linux 系 统 中 ， 然 后 执行 如 下 命令 创建 mysql 用 户 账号 : 


[root@MySQL ~]# useradd -s /sbin/nologin -M mysql #<== 默 认 会 创建 和 mysql 用 户 同名 的 组 
[root@MySQL ~]# id mysql 
uid=500 (mysql) gid=500 (mysql) 组 =500 (mysql) 


根据 上 述 输出 结果 ， 可 以 看 到 mysql 用 户 和 组 已 经 成 功 创建 。 


(2) 获取 MySQL 软 件 包 


MySQL 软 件 包 的 下 载 地 址 为 : http://dev.mysql.com/downloads/mysql/ (如 果 地 址 变更 无 法 下 载 ， 可 以 去 官方 下 载 或 通过 老 男孩 提供 的 云 空间 下 载 ) 。 可 以 把 软件 下 载 到 客户 端 计 算 机 本 地 后 使 用 rz 


等 工具 传 到 Linux 里 ,或 者 找到 网 络 下 载 地 址 后 直接 在 Linux 里 使 用 wget 下 载 。 


Os: 本 例 以 MySQL 编 译 的 方式 来 讲解 ， 前 面 章节 已 经 带领 大 家 使 用 二 进 制 方式 安装 过 了 。 在 生产 场景 中 ， 二 进 制 和 源码 包 两 种 安装 方法 都 是 可 以 用 的 ， 其 应 用 场景 一 般 没 什么 差别 。 不 同 之 处 在 
二 进 制 的 安装 包 较 大 ， 名 字 和 源码 包 也 有 些 区 别 ， 二 进 制 安装 过 程 比 源码 更 快 。 


MySQL 源 码 包 和 二 进 制 安装 包 的 名 称 见 表 9-1。 


表 9-1 MySQL 二 进 制 和 源码 包 
EY 软件 软件 名 
MySQL 源码 安装 包 mysql-5.5.32.tar.gz (本 章 选 择 的 安装 包 ) 
MySQL 二 进 制 安 装 包 二 -linux2.6-x86_64.tar.gz 


(3) 采用 编译 方式 安装 MySQL 


配置 及 编译 安装 的 步骤 如 下 : 


[root@MySQL tools]# tar zxf mysql-5.5.32.tar.gz 
[root@MySQL tools]# cd mysql-5.5.32 

[root@MySQL mysql-5.5.32]# cmake . -DCMAKF INSTALL PREFIX=/application/ 
mysql-5.5.32 \ 

-DMYSQL DATADIR=/application/mysql-5.5.32/data \ 
-DMYSQL UNIX ADDR=/application/mysql-5.5.32/tmp/mysql.sock \ 
—DDEFAULT CHARSET=utf8 \ 

—DDEFAULT COLLATION=utf8 general ci \ 

—DEXTRA CHARSETS=gbk, gb2312, utf8, ascii \ 
—DENABLED LOCAL INFILE=ON \ 

—DWITH INNOBASE STORAGE ENGINE=1 \ 

-DWITH 1 FEDERATED : STORAGE ENGINE=1 \ 

—DWITH BLACKHOLE STORAGE ENGINE=1 \ 

—DWITHOUT ] EXAMPIE ; STORAGE 1 ENGINE=1 \ 

—DWITHOUT PARTITION STORAGE 1 ENGINE=1 \ 

—DWITH FAST MUTEXES=] \ 

-DWITH ZLIB=bundled \ 

—DENABLED LOCAL INFILE=] \ 

—DWITH RERDLINE=1 \ 

—DWITH ] EMBEDDED SERVER=1 \ 

—DWITH DEBUG=0 

# 提 示 ， 编 译 时 可 配置 的 选项 很 多 ， 具 体 可 参考 官方 文档 
[rooteMySOL mysql-5.5.32]# make 

[root@MySQL mysql-5.5.32]# make install 


下 面 为 MySQL 安 装 路 径 设置 不 带 版 本 号 的 软 链接 /application/mysql， 操 作 步 又 如 下 : 


[root@MySQL mysql-5.5.32]# ln -s /application/mysql-5.5.32/ /application/mysql 

# 补 充 : 如 果 PD 最 好 停 掉 或 删除 ， 以 免 产 生 冲突 
[root@MySQL mysql-5.5.32]# 1s /application/mysql/ 

bin data include libp mysql-test scripts sql-bench 

COPYING docs INSTALL-BINARY man README share support-files 
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如 果 上 述 操作 未 出 现 错误 ， 查 看 /application/mysqWV 目 录 下 有 内 容 ， 则 MySQL5.5.32 源 代码 包 采 用 cmake 方 式 的 安装 就 算 成 功 了 。 


6 配置 及 管理 MySQL 多 实例 数据 库 


1. 配 置 MySQL 多 实例 数据 库 开 机 自 启动 


服务 的 开机 自 启动 很 关键 ，MySQL 多 实例 的 启动 也 不 例外 ， 把 MySQL 多 实例 的 启动 命令 加 入 /etc/rc.local， 实 现 开机 自 启动 ， 命 令 如 下 : 


[root@MySQL ~]# echo "#mysql multi instances" >>/etc/rc.local 
[root@MySQL ~]# echo "/data/3306/mysql start" >>/etc/rc.local 
[root@MySQL ~]# echo "/data/3307/mysql start" >>/etc/rc.local 
[root@MySQL ~]# tail -3 /etc/rc.local 

#mysql multi instances 

/data/3306/mysql start 

/data/3307/mysql start 


人 @ 担 示 : 要 确保 MySQL 脚 本 可 执行 哟 ! 
2. 登 录 MySQL 测 试 


测试 命令 如 下 : 


[root@MySQL ~]# mysql -S /data/3306/mysql.sock 

# 一 直接 敲 就 进来 了 ， 而 且 身 份 还 是 root。 但 是 多 了 -S /data/3306/mysql.sock， 用 于 区 别 登 录 不 同 的 实例 
Welcome to the MySQL monitor. Commands end with ; or \g. 

Your MySQL connection id is 1 

Server version: 5.5.32-log Source distribution 

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved. 
Oracle is a registered trademark of Oracle Corporation and/or its 

affiliates. Other names may be trademarks of their respective 


Owners. 

Type 'help; ' or '\h' for help. Type '\c' to clear the current input statement. 
mysql> 

mysql> show databases; #<- 查 看 当前 所 有 的 数据 库 


| information schema | 
| mysql 1 
| performance schema | 
| test | 


4 rows in set (0.00 sec) 
mysql> select user () ; #< -查看 当前 的 登录 用 户 


1 row in set (0.00 sec) 
mysql> 


3.MySQL 多 实例 数据 库 的 管理 方法 


MySQL 安 装 完成 后 ， 默 认 情 况 下 ，MySQL 管 理 员 的 账号 root 是 无 密码 的 。 登 录 不 同 的 实例 需要 指定 不 同 实例 的 mysql.sock 文 件 路 径 ， 这 个 mysql.sock 是 在 my.cnf 配 置 文件 里 指定 的 。 


下 面 是 无 密码 情况 下 登录 数据 库 的 方法 ， 关 键 点 是 -S 参 数 及 后 面 指定 的 /data/3306/mysql.sock， 注 意 ， 不 同 实例 的 sock 昌 然 名 字 相同 ， 但 是 路 径 是 不 同 的 ， 因 此 是 不 同 的 文件 。 


mysql -S /data/3306/mysql .sock 
mysql -S /data/3307/mysql .sock 


下 面 是 重启 对 应 实例 数据 库 的 命令 。 


/data/3306/mysql stop 
/data/3306/mysql start 


4.MySQL 安 全 配置 


MySQL 管 理 员 的 账号 root 密 码 默认 为 空 ， 极 不 安全 ， 可 以 通过 mysqladmin 命 令 为 MySQL 不 同 实例 的 数据 库 设置 独立 的 密码 ， 命 令 如 下 : 


[root@MySQL ~]# mysqladmin -u root -S /data/3306/mysql.sock password 'oldboy123' 
# 一 为 mysql 设 置 密码 

[root@MySQL ~]# mysql -uroot -p -S /data/3306/mysql .sock #<- 无 法 直接 登录 了 
Enter Password: 

ERROR 1045 (28000) : Access denied for user 'root'@'localhost' (using password: YES) 
[root@MySQL ~]# mysql -uroot -p -S /data/3306/mysql .sock #<— 新 的 登录 方式 
Enter password: #< 一 输入 新 密码 oldboy123 

Welcome to the MySQL monitor. Commands end with ; or \g. 

Your MySQL connection id is 5 

Server version: 5.5.32-1og Source distribution… 省 略 若 干 … 

mysql> 


ie: 3307 实 例 的 设置 方法 和 3306 实 例 的 相同 ， 只 是 连接 时 的 mysql、sock 路 径 不 同 而 已 ， 这 已 提醒 多 次 ， 大 家 要 注意 。 
下 面 介绍 带 密码 登录 不 同 实例 数据 库 的 方法 。 


登录 3306 实 例 的 命令 如 下 : 


mysql -uroot -poldboy123 -S /data/3306/mysql.sock 


登录 3307 实 例 的 命令 如 下 : 


mysql -uroot -poldboy123 -S /data/3307/mysql.sock 


Os: 基础 弱 的 读者 ， 在 测试 时 尽量 保证 多 实例 的 密码 相同 ， 可 以 减少 麻烦 ， 后 面 还 原 数据 库 时 会 覆盖 密码 ! 


若 要 重启 多 实例 数据 库 ， 也 需要 进行 相应 的 如 下 配置 。 在 重启 数据 库 前 ， 需 要 调整 不 同 实例 启动 文件 里 对 应 的 数据 库 密码 。 


[root@MySQL ~]# sed -n '13p' /data/3306/mysql 

mysql_pwd="oldboy" #<== 这 是 登录 数据 库 时 使 用 的 密码 ， 是 前 面 启动 文件 mysql 里 的 默认 定义 的 配置 
[root@MySQL ~]# sed -i '13 s#oldboy#oldboy123#g' /data/3306/mysql /data/3307/mysql 
[root@MySQL ~]# sed -n '13p' /data/3306/mysql 

mysql pwd="oldboy123"™ 

[root@MySQL ~]# sed -n '13p' /data/3307/mysql 

mysql_pwd="oldboy123"™ 


如 果 当前 的 MySQL 启 动 文件 权限 为 755 或 644， 则 需要 降低 MYSQL 启动 文件 的 权限 ， 因 为 有 密码 ， 被 其 他 用 户 看 到 会 很 不 安全 ， 批 量 调整 权限 及 属 主 的 命令 如 下 : 


[root@MySQL ~]# find /data -type f -name "mysql" -exec chmod 700 {} \; 
[root@MySQL ~]# find /data -type 工 -name "mysql" -exec chown root.root {} \; 
[root@MySQL ~]# find /data -type f -name "mysql" -exec 1s -1 {} NA 
EW 1 root root 1307 Jul 21 2013 /data/3307/mysql 

We 1 root root 1335 Jul 20 20: 57 /data/3306/mysql 


多 实例 下 正常 停止 数据 库 的 命令 如 下 : 


/data/3306/mysql stop 
#<== 由 于 选择 了 mysqladmin shutdown 的 停止 方式 ， 所 以 停止 数据 库 时 需要 在 启动 文件 里 配置 数据 库 的 密码 
/data/3306/mysql start 


sa: 禁止 使 用 pkill、kill-9、killall-9 等 命令 强制 杀 死 数据 库 ， 这 会 引起 数据 库 无 法 启动 等 故障 的 发 生 。 企 业 血 的 教训 案例 请 看 http://oldboy.blog.51cto.com/2561410/1431161。 


5. 如 何 再 增加 一 个 MySQL 的 实例 


若 在 3306 和 3307 实 例 的 基础 上 ， 再 增加 一 个 MySQL 实 例 ， 该 怎么 办 ”下 面 给 出 增加 一 个 MySQL 3308 端 口 实例 的 命令 集合 : 


mkdir -p /data/3308/data 

\cp /data/3306/my.cnf /data/3308/ 

\cp /data/3306/mysql /data/3308/ 

sed -i 's/3306/3308/g' /data/3308/my.cnf 

sed -i 's/server-id = 1/server-id = 8/g' /data/3308/my.cnf 
sed -i 's/3306/3308/g' /data/3308/mysql 

chown -R mysql: mysql /data/3308 

chmod 700 /data/3308/mysql 

cd /application/mysql/scripts 

./mysql install db --datadir=/data/3308/data --basedir=/application/mysql --user=mysql 
chown -R mysql: mysql /data/3308 

egrep "server-id|log-bin" /data/3308/my.cnf 
/data/3308/mysql start 

sleep 5 

netstat -lnt|grep 3308 

# 提 示 : 最 好 把 serVer-id 按 照 IP 地 址 最 后 一 个 小 数 点 的 数字 设置 

# 成 功 标志 : 多 了 一 个 启动 的 端口 3308 

[root@MySQL scripts]# netstat -lnt|grep 330 


tcp 0 0 0.0.0.0: 3306 O00 * LISTEN 
tcp 0 0 0.0.0.0: 3307 0000: 竺 LISTEN 
tcp 0 0 0.0.0.0: 3308 D020:0: * LISTEN 


如 果 配 置 以 后 ， 服 务 启动 后 却 没有 运行 起 来 ， 别 忘 了 一 定 要 看 MySQL 错 误 日 志 哎 ， 在 /data/3308/my.cnf 最 下 面 有 错误 日 志 路 径 地 址 。 本 例 作为 作业 留 给 读者 自己 去 实践 ， 看 看 能 否 独自 搞定 这 个 实 
例 。 


6. 多 实例 MySQL 登 录 问 题 分 析 


(1) 多 实例 本 地 登录 MySQL 


多 实例 本 地 登录 一 般 通过 socket 文 件 来 指定 具体 登录 到 哪个 实例 ， 此 文件 的 具体 位 置 是 在 MySQL 编 译 过 程 或 my.cnf 文 件 中 指定 的 。 在 本 地 登录 数据 库 时 ， 登 录 程 序 会 通过 socket 文 件 来 判断 登录 的 是 
哪个 数据 库 实例 。 


例如 : 通过 mysql-uroot-p'oldboy123'-S/data/3307/mysql.sock 可 知 ， 登 录 的 是 3307 这 个 实例 。mysql.sock 文 件 是 MySQL 服 务 器 端 与 本 地 MySQL 客 户 端 进行 通信 的 UNIX 套 接 字 文件 。 


(2) 远程 连接 登录 MySQL 多 实例 


远程 登录 MySQL 多 实例 中 的 一 个 实例 时 ， 通 过 TCP 端 口 (port) 来 指定 所 要 登录 的 MySQL 实 例 ， 此 端口 的 配置 是 在 MySQL 配 置 文件 my.cnf 中 指定 的 。 


例如 : 在 mysql -uoldboy -p'oldboy' -h 10.0.0.7 -P 3307 中 ，-P 为 端口 参数 ， 后 面 接 具 体 的 实例 端口 ， 端 口 是 一 种 “逻辑 连接 位 置 ”， 是 客户 端 程序 被 分 派 到 计算 机 上 特殊 服务 程序 的 一 种 方式 ， 强 
调 提前 在 10.0.0.7 上 对 oldboy 用 户 做 了 授权 。 


9.7 ”MySQL 主 从 复制 介绍 


MySQL 数 据 库 的 主 从 复制 方案 ,与 使 用 scp/rsync 等 命令 进行 的 文件 级 别 复制 类 似 ， 都 是 数据 的 远程 传输 ， 只 不 过 MySQL 的 主 从 复制 是 其 自 带 的 功能 ， 无 需 借 助 第 三 方 工具 ,而 且 ，MySQL 的 主 从 复制 
并 不 是 数据 库 磁盘 上 的 文件 直接 拷贝 ， 而 是 通过 逻辑 的 binlog 日 志 复 制 到 要 同步 的 服务 器 本 地 ， 然 后 由 本 地 的 线程 读 取 日 志 里 面 的 SQL 语句 ， 重 新 应 用 到 MySQL 数 据 库 中 。 


9.8 ”MySQL 主 从 复制 实践 


9.8.1 主 从 复制 实践 准备 


1. 主 从 复制 数据 库 实战 环境 准备 


动 
Bi 
让 


MySQL 主 从 复制 实践 对 环境 的 要 求 比较 简单 ， 可 以 是 单机 单数 据 库 多 实例 的 环境 ， 也 可 以 是 两 台 服务 器 ， 每 个 机 器 一 个 独立 数据 库 的 环境 。 本 文 以 单机 数据 库 多 实例 的 环境 为 例 讲解 。 实 例 端 
看 如 下 : 


[root@MySQL ~]# ss -lntlgrep 330 
128 


LISTEN 0 | 306 人 
LISTEN 0 128 *; 3307 
LISTEN 0 128 *:; 3308 二 祭 


提示 : 这 里 把 3306 实 例 作为 主 库 ，3307 实 例 作为 从 库 ， 如 果 根 据 前 面 的 内 容 配置 了 MySQL 多 实例 环境 ， 直 接 开启 多 实例 环境 使 用 即 可 。 


2. 定 义 主 从 复制 需要 的 服务 器 角色 


主 库 及 从 库 IP、 端 口 信息 如 下 : 


主 库 (mysql master) : [ip 为 10.0.0.7 port 为 3306] 从 库 1 (mysql slave) : [ip 为 10.0.0.7 port 为 3307] 从 库 2 (mysql slave) : [ip 为 10.0.0.7 port 为 3308] 


这 里 的 主 从 复制 技术 是 针对 前 面 的 内 容 以 单机 数据 库 多 实例 环境 来 讲 的 。 一 般 情况 下 ， 小 企业 在 做 常规 的 主 从 复制 时 ， 主 从 服务 器 多 数 在 不 同 的 机 器 上 ， 并 且 监 听 的 端口 均 为 默认 的 3306。 虽 然 不 在 同 
一 个 机 器 上 ， 但 是 步骤 和 过 程 却 是 一 样 的 。 


读者 在 掌握 了 单数 据 库 多 实例 的 同步 方法 后 ， 可 以 自己 适当 扩展 ， 完 成 异 机 相同 端口 之 间 的 主 从 复制 。 


3 数据库 中 英文 名 称 约定 


MySQL 主 库 ， 也 可 称 为 Master， 本 文 对 应 服务 的 端口 号 为 3306。 


MySQL 从 库 1， 也 可 称 为 Siave1， 本 文 对 应 服务 的 端口 号 为 3307。 


MySQL 从 库 2， 也 可 称 为 Slave2， 本 文 对 应 服务 的 端口 号 为 3308。 


下 面 的 内 容 中 可 能 把 主 库 称 为 Master， 把 从 库 称 为 Slave， 或 者 反 过 来 称呼 ,代表 的 意思 都 是 一 个 。 


9.9 ”MySQL 主 从 复制 更 多 应 用 技巧 实践 


1. 工 作 中 MySQL 从 库 停止 复制 故障 案例 


模拟 重 现 故障 的 能 力 是 运 维 人 员 最 重要 的 能 力 。 下 面 就 来 次 模拟 操作 。 先 在 从 库 创建 一 个 库 ， 然 后 去 主 库 创 建 同名 的 库 来 模拟 数据 冲突 ， 命 令 如 下 : 


Show slave status; 报错 : 且 show slave statusNG: 
Slave _ IO Running: Yes 
Slave SOL Running: NO 
Seconds Behind Master: NULL 
Last Error: Error 'Can't create database 'xiaoliu'; database exists' on query. Default database: 'xiaoliu'. Query: "create database Xiaoliu' 


对 于 该 冲突 ， 解 决 方法 1 如 下 : 


stop slLave;  #<== 临 时 停止 同步 开关 
set global sql slave skip counter =1 ; #<== 将 同步 指针 向 下 移动 一 个 ， 如 果 多 次 不 同步 ， 
可 以 重复 操作 


start slave; 


对 于 普通 的 互联 网 业务 ， 上 述 的 移动 指针 的 操作 带 来 的 问题 不 是 很 大 。 当 然 ， 要 在 确认 不 影响 公司 业务 的 前 提 下 。 


若是 在 企业 场景 下 ， 对 当前 业务 来 说， 解决 主 从 同步 比 主 从 不 一 致 更 重要 ， 如 果 主 从 数据 一 致 也 是 很 重要 的 ， 那 就 再 找 个 时 间 恢 复 这 个 从 库 。 


是 主 从 数据 不 一 致 更 重要 ， 还 是 保持 主 从 同步 持续 状态 更 重要 ， 要 根据 业务 选择 。 


这 样 Slave 就 会 与 Master 同 步 了 ， 主 要 关键 点 如 下 : 


Slave_IO Running: Yes 
Slave SQL Running: Yes 
Seconds_Behind_ Master 是 否 为 0，#0 表 示 已 经 同步 状态 


@isA: set global sql_slave_skip_counter=n; #n 取 值 >0， 和 忽略 执行 N 个 更 新 。 


解决 方法 2: 根据 可 以 忽略 的 错误 号 事先 在 配置 文件 中 配置 ， 跳 过 指定 的 不 影响 业务 数据 的 错误 ,例如 : 


[root@MySQL ~]# grep slave-skip /data/3306/my.cnf 
slave-skip-errors = 1032, 1062, 1007 


is: 类 似 由 于 入 库 重 复 导 致 的 失败 可 以 忽略 ， 其 他 情况 是 不 是 可 以 忽略 需要 根据 不 同 公司 的 具体 业务 来 评估 。 


其 他 可 能 引起 复制 故障 的 原因 : 


:MYSQL 自身 的 原因 及 人 为 重复 插入 数据 。 


: 不 同 的 数据 库 版 本 会 引起 不 同步 ， 低 版 本 到 高 版 本 可 以 ， 但 是 高 版 本 不 能 往 低 版 本 同步 。 
“MySQL 的 运行 错误 或 程序 bug。 


“binlog 记 录 模 式 ， 例 如: row level 模 式 就 比 默认 的 语句 模式 要 好 。 


2. 让 MySQL 从 库 记录 binlog 日 志 的 方法 


从 库 需 要 记录 binlog 的 应 用 场景 : 当前 的 从 库 还 要 作为 其 他 从 库 的 主 库 ， 例 如 级 联 复制 或 双 主 互 为 主 从 场景 的 情况 下 。 下 面 介绍 从 库 记 录 binlog 日 志 的 方法 。 


在 从 库 的 my.cnf 中 加 入 如 下 参数 ， 然 后 重启 服务 生效 即 可。 


log-slave-updates #<== 必 须要 有 这 个 参数 
log-bin = /data/3307/mysql-bin 
expire logs days = 7 #<== 相 当 于 find /data/3307/ -type f -name " mysql-bin.000*" -mtime +7 |xargs rm -f 


3.MySQL 主 从 复制 集群 架构 的 数据 备份 策略 


有 主 从 复制 了 ， 还 需要 做 定时 全 量 加 增 量 备份 么 ”答案 是 肯定 的 ! 


为 ， 如 果 主 库 有 语句 级 误 操作 (例如 : drop database oldboy; ) ， 从 库 也 会 执行 drop database oldboy; ， 这 样 MySQL 主 从 库 就 都 删除 了 该 数据 。 


把 从 库 作 为 数据 库 备份 服务 器 时 ， 备 份 策略 如 下 : 


高 并 发 业务 场景 备份 时 ， 可 以 选择 在 一 台 从 库 上 备份 (Slave5) ， 把 从 库 作为 数据 库 备份 服务 器 时 需要 在 从 库 开启 binlog 功 能 ， 其 逻辑 如 图 9-12 所 示 。 
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图 9-12 MySQL 主 从 复制 根据 业务 重要 性 拆 分 从 库 方案 


步骤 如 下 : 


1) 选择 一 个 不 对 外 提供 服务 的 从 库 ， 这 样 可 以 确保 和 主 库 更 新 最 接近 ， 专 门 用 于 做 数据 备份 。 


2) 开启 从 库 的 binlog 功 能 。 


备份 时 可 以 选择 只 停止 SQL 线程 ， 停 止 应 用 SQL 语句 到 数据 库 ，MO 线 程 保 留 工作 状态 ， 执 行 命令 为 stop slave sql_ thread; ， 备 份 方式 可 以 采取 mysqldump 逻 辑 备份 或 直接 物理 备份 ， 例 如 : 使 用 
cp、tar (针对 /data/ 目 录 ) 工具 或 xtrabackup (第 三 方 的 物理 备份 软件 ) 进行 备份 ， 则 逻辑 备份 和 物理 备份 的 选择 ， 一 般 是 根据 总 的 备份 数据 量 的 多 少 进行 选择 的 ， 数 据 量 低 于 30G， 建 议 选择 
mysqldump 罗 辑 备份 方 法 ， 安 全 稳定 ， 最 后 把 全 备 和 binlog 数 据 发 送 到 备份 服务 器 上 留存 。 


4.MySQL 主 从 复制 延迟 问题 的 原因 及 解决 方案 


问题 一 : 主 库 的 从 库 太 多 ， 叶 致 复制 延迟 。 


从 库 数量 以 3~ 5 个 为 宜 ， 要 复制 的 从 节点 数量 过 多 ， 会 导致 复制 延迟 。 


问题 二 : 从 库 硬 件 比 主 库 差 ， 导 致 复制 延迟 。 


查看 Master 和 Slave 的 系统 配置 ， 可 能 会 因为 机 器 配置 不 当 ， 包 括 磁盘 MO、CPU、 内 存 等 各 方面 因素 造成 复制 的 延迟 。 这 一 般 发 生 在 高 并 发 大 数据 量 写 入 场景 中 。 


问题 三 : 慢 SQL 语 句 过 多 。 
假如 一 条 SQL 语句 执行 时 间 是 20 秒 ， 那 么 从 执行 完毕 到 从 库 上 能 查 到 数据 至 少 需要 20 秒 ， 这 样 就 延迟 20 秒 了 。 


一 般 要 把 SQL 语句 的 优化 作为 常规 工作 ， 不 断 地 进行 监控 和 优化 ， 如 果 单 个 SQL 的 写 入 时 间 长 ， 可 以 修改 后 分 多 次 写 入 。 通 过 查看 慢 查询 日 志 或 show full processlist 命 令 ， 找 出 执行 时 间 长 的 查询 语句 
或 大 的 事务 。 


问题 四 : 主 从 复制 的 设计 问题 。 


例如 ， 主 从 复制 单线 程 ， 如 果 主 库 写 并 发 太 大 ， 来 不 及 传送 到 从 库 ， 就 会 导致 延迟 。 


更 高 版 本 的 MYSQL 可 以 支持 多 线程 复制 ， 门 户 网 站 则 会 自己 开发 多 线程 同步 功能 。 


问题 五 : 主 从 库 之 间 的 网 络 延迟 。 


主 从 库 的 网 卡 、 网 线 、 连 接 的 交换 机 等 网 络 设备 都 可 能 成 为 复制 的 瓶颈 ， 导 致 复制 延迟 ， 另 外 ， 跨 公 网 主 从 复制 很 容易 导致 主 从 复制 延迟 。 


问题 六 : 主 库 读 写 压 力 大 ， 叶 致 复制 延迟 。 
主 库 硬件 要 搞 好 一 点 ， 架 构 的 前 端 要 加 buffer 及 缓存 层 。 


5. 通 过 read-only 参 数 让 从 库 只 读 访问 


read-only 参 数 选项 可 以 让 从 服务 器 只 允许 来 自从 服务 器 线程 或 具有 SUPER 权 限 的 数据 库 用 户 进行 更 新 ， 确 保 从 服务 器 不 接受 来 自用 户 端的 非法 用 户 更 新 。 


read-only 参 数 允 许 数据 库 更 新 的 条 件 为 : 


' 具有 SUPER 权 限 的 用 户 可 以 更 新 ， 不 受 read-only 参 数 影 响 ， 例 如 : 管理 员 root。 


“ 来 自从 服务 器 线程 可 以 更 新 ， 不 受 read-only 参 数 影 响 ， 


在 生产 环境 中 ， 可 以 在 从 库 Slave 中 使 用 read-only 参 数 ， 确 保 从 库 数据 不 被 非法 更 新 。 


read-only 参 数 的 配置 方法 如 下 。 


例如 : 


方法 一 : 直接 带 --read-only 参 数 启动 或 重启 数据 库 ， 使 用 


前 文 的 rep 用 户 。 


killall mysqld 


或 


mysqladmin -uroot -poldboy123 -S /data/3307/mysql.sock shutdown 
mysqld safe --defaults-file=/data/3307/my.cnf --read-only & 


看 启 数 


居 库 ， 配 置 如 下 : 


方法 二 : 在 my.cnf 里 [mysqld] 模 块 下 加 read-only 参 数 宇 
[mysqld] 
read-only 


6.Web 用 户 专 业 设置 方案 : MySQL 主 从 复制 读 写 分 离 集 群 


专业 的 运 维 人 员 提 供给 开发 人 员 读 写 分 离 的 账户 设置 方法 如 下 : 


1) 访问 主 库 和 从 库 时 使 用 一 套用 户 密码 ， 例 如 ， 用 户 为 web， 密 码 为 oldboy123。 


2) 即使 访问 IP 不 同 ， 端 口 也 尽量 相同 (3306) 。 例 如 : 写 库 VIP 为 10.0.0.7， 读 库 VIP 为 10.0.0.8。 


除了 IP 没 办 法 修改 之 外 ， 要 尽量 为 开发 人 员 提供 方便 ， 如 果 数 据 库 前 端 有 DAL 


下 面 是 授权 Web 连 接 用 户 访问 的 方案 : MySQL 主 从 复制 读 写 分 离 集群 。 


方法 1: 主 库 和 从 库 使 用 不 同 的 用 户 ， 授 予 不 同 的 权限 。 


主 库 上 对 web_w 用 户 授权 如 下 : 


= 


云 


(DBProxy) ， 还 可 以 只 给 开发 人 员 一 套用 户 、 密 码 、IP、 端 


， 这 样 就 更 专业 了 ， 剩 下 的 都 由 运 维 人 员 搞 定 。 


用 户 : web W 密码 : oldboy123 端口 : 3306 主 库 VIP: 10.0.0.7 权 限 : SELECT， 


INSERT, 


DELETE 命 令 : GRANT SELECT, 


UPDATE, DELETE ON “web .* TO 'web w'@'10.0.0.%' identi 


从 库 上 对 web_r 用 户 授权 如 下 : 


用 户 : web 工 密码 : oldboy123 端口: 3306 从 库 VIP: 10.0.0.8 权 限 : SELECT 命 令 : GRANT SELECT ON “web .* TO "web r'@'10.0.0.%' identified by 'oldboy123'; 


提示 : 此 法 显得 不 够 专业 ， 但 是 可 以 满足 开发 需求 。 


方法 2: 主 库 和 从 库 使 用 相同 的 用 户 ， 但 授予 不 同 的 权限 。 


主 库 上 对 web 用 户 授权 如 下 : 


用 户 : web 密码 : oldboy123 端口: 3306 主 库 VIP: 10.0.0.7 权 限 : SELECT， 


INSERT, 


DELETE 命 令 : GRANT SELECT， 


DELETE ON ‘web‘.* TO 'web'@'10.0.0.%' identifiec 


从 库 上 对 web 用 户 授 权 如 下 : 


用 户 : web 密码 : oldboy123 端口 : 3306 主 库 VIP: 10.0.0.8 权 限 : SELECT 提 示 : 由 于 主 库 和 从 库 是 同步 复制 的 ， 所 以 从 库 上 的 web 用 户 会 自动 和 主 库 保持 一 致 ， 即 无 法 实现 只 读 select 的 授权 


要 实现 方法 2 中 的 授权 方案 ， 有 如 下 两 个 方法 。 


一 是 在 主 库 上 创建 用 户 和 权限 后 ， 从 库 上 revoke 收 回 对 应 更 新 权限 (insert、update、delete) 。 


命令 为 : 


REVOKE INSERT, UPDATE, DELETE ON web.* FROM 'web'@'10.0.0.%'; 


二 是 忽略 授权 库 MySQL 同 步 ， 主 库 的 配置 参数 如 下 : 


binlog-ignore-db = mysql 
replicate-ignore-db = mysql 


je 示 :上 面 参数 等 号 两 边 必须 有 空格 . 


方法 3: 在 从 库 上 设置 read-only 参 数 ， 让 从 库 只 读 。 


库 从 库 : 主 库 和 从 库 使 用 相同 的 用 户 ， 授 予 相同 的 权限 ( 非 ALL 权 限 ) 。 


用 户 : web 密码 : oldboy123 端口 : 3306 主 库 VIP: 10.0.0.7， 从 库 VIP: 10.0.0.8 权 限 : SELECT， 


DELETE 命 令 : GRANT SELECT， INSERT, UPDATE, DELETE ON web.* TO 'web w'@'1C 


由 于 从 库 设 置 了 read-only， 非 super 权 限 是 无 法 写 入 的 


， 因 此 ， 通 过 read-only 参 数 就 可 以 很 好 地 控制 用 户 ， 使 其 不 能 非法 将 数 和 


老 男孩 生产 工作 场景 的 设置 方案 如 下 : 


1) 忽略 授权 库 MySQL 同 步 ， 主 库 配 置 参 数 如 下 : 


binlog-ignore-db = mysql 
replicate-ignore-db = mysql 


全 证 示 ;， 上 面 参数 等 号 两 边 必 须 有 空格 。 


2) 主 库 和 从 库 使 用 相同 的 用 户 ， 但 授予 不 同 的 权限 。 


主 库 上 对 web 用 户 授权 如 下 : 


用 户 : web 密码 : oldboy123 端口: 3306 主 库 VIP: 10.0.0.7 权 限 : SELECT， INSERT， UPDATE， DELETE 命 令 : GRANT SELECT, INSERT， UPDATE, DELETE ON web.* TO 'web'@'10.0.0.%' identified 上 


从 库 上 对 web 用 户 授权 如 下 : 


用 户 : web 密码 : oldboy123 端口: 3306 主 库 VIP: 10.0.0.8 权 限 : SELECT 


3) 从 库 设置 read-only， 增 加 双 保 险 。 


9.10 本章 重点 回顾 


MySQL 多 实例 的 实现 原理 及 实战 部 署 。 


DL 


MySQL 主 从 复制 的 原理 (面试 中 经 常会 问 到 ) 。 


四 


MySQL 主 从 复制 的 实践 。 


4) MYSQL 主 从 复制 故障 解决 思路 。 


un 


MySQL 主 从 复制 延迟 原因 及 解决 思路 。 


6 


MySQL 主 从 复制 集群 ， 从 库 备份 的 思想 和 思路 。 


7 


MySQL 主 从 复制 读 写 分 离 授 权 访问 用 户 方案 。 


“MYSQL 官方 手册 5.1 及 5.5 
“MySQL 数据 库 企 业 级 核心 知识 精品 


http://edu.51cto.com/course/course_id-4058.html 


http:/ /oldboy.blog.51cto.com/2561410/1240412 


.MYSQL 数据 库 企 业 级 应 用 实战 


http://edu.51cto.com/pack/view/id-214.html 


10.1 ”NFS 介绍 


10.1.1 什么 是 NFS 


第 10 章 ”企业 级 NFS 网 络 文件 共享 服务 


NFS 是 Network File System 的 缩写 ， 中 文 意思 是 网 络 文件 系统 。 它 的 主要 功能 是 通过 网 络 (一 般 是 局 域 网 ) 让 不 同 的 主机 系统 之 间 可 以 共享 文件 或 目录 。NFS 客 户 端 (一 般 为 应 用 服务 器 ， 例 如 


Web) 可 以 通过 挂 载 (mount) 的 方式 将 NFS 服 务 器 端 共 享 的 数 
或 者 目录 一 样 ， 而 实际 上 却 是 远 端的 NFS 服 务 器 的 目录 。 


NFS 网 络 文件 系统 很 像 Windows 系 统 的 网 络 共享 、 安 全 功能 、 


居 目 录 挂 载 到 NFS 客 户 端 本 地 系统 中 (就 是 某 一 个 挂 载 点 下 ) 。 从 客户 端 本 地 看 ，NFS 服 务 器 端 共享 的 目录 就 好 像 是 客户 端 自己 的 磁盘 分 区 


网 络 驱动 器 映射 ， 这 也 与 Linux 系 统 里 的 samba 服 务 类 似 。 只 不 过 一 般 情况 下 ，Windows 网 络 共享 服务 或 samba 服 务 用 于 办 公 局 域 网 共 


享 ， 而 互联 网 中 小 型 网 站 集群 架构 后 端 常用 NFS 进 行 数据 共享 ， 如 果 是 大 型 网 站 ， 那 么 有 可 能 还 会 用 到 更 复杂 的 分 布 式 文件 系统 ， 例 如 : Moosefs (mfs) 、GlusterFS、FastDFS， 这 些 不 在 本 书 讨论 内 容 


之 列 ， 有 兴趣 的 读者 可 以 阅读 老 男孩 的 其 他 书 或 者 相关 教学 视频 。 
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10.1 ”NFS 介绍 


10.1.1 什么 是 NFS 


NFS 是 Network File System 的 缩写 ， 中 文 意思 是 网 络 文 件 系统 。 它 的 主要 功能 是 通过 网 络 (一 般 是 局 域 网 ) 让 不 同 的 主机 系统 之 间 可 以 共享 文件 或 目录 。NFS 客 户 端 (一 般 为 应 用 服务 器 ， 例 如 
Web) 可 以 通过 挂 载 (mount) 的 方式 将 NFS 服 务 器 端 共 享 的 数据 目录 挂 载 到 NFS 客 户 端 本 地 系统 中 (就 是 某 一 个 挂 载 点 下 ) 。 从 客户 端 本 地 看 ，NFS 服 务 器 端 共享 的 目录 就 好 像 是 客户 端 自 己 的 磁盘 分 区 
或 者 目录 一 样 ， 而 实际 上 却 是 远 端的 NFS 服 务 器 的 目录 。 


NFS 网 络 文件 系统 很 像 Windows 系 统 的 网 络 共享 、 安 全 功能 、 网 络 驱动 器 映射 ， 这 也 与 Linux 系 统 里 的 samba 服 务 类 似 。 只 不 过 一 般 情 况 下 ，Windows 网 络 共享 服务 或 samba 服 务 用 于 办 公 局 域 网 共 
， 而 互联 网 中 小 型 网 站 集群 架构 后 端 常用 NFS 进 行 数 据 共享 ， 如 果 是 大 型 网 站 ， 那 么 有 可 能 还 会 用 到 更 复杂 的 分 布 式 文件 系统 ， 例 如 : Moosefs (mfs) 、GlusterFS、FastDFS， 这 些 不 在 本 书 讨论 内 容 
之 列 ， 有 兴趣 的 读者 可 以 阅读 老 男孩 的 其 他 书 或 者 相关 教学 视频 。 


10.2 ”NFS 系 统 原 理 介绍 


10.2.1 “NFS 系统 挂 载 结构 图 解 与 介绍 


网 


10-5 是 企业 工作 中 的 NFS 服 务 器 与 客户 端 挂 载 情况 结构 。 


在 图 10-5 中 ， 在 NFS 服 务 器 端 设 置 好 一 个 共享 目录 /video 后 ， 其 他 有 权限 访问 NFS 服 务 器 端的 客户 端 都 可 以 将 这 个 共享 目录 /video 挂 载 到 客户 端 本 地 的 某 个 挂 载 点 (其 实 就 是 一 个 目录 ， 这 个 挂 载 点 目 
录 可 以 自己 随意 指定 ) ， 图 10-5 中 的 两 个 NFS 客 户 端 本 地 的 挂 载 点 分 别 为 /v/video 和 /video， 不 同 客户 端的 挂 载 点 可 以 不 相同 。 


口 


客户 端正 确 挂 载 完毕 后 ， 就 可 以 通过 NFS 客 户 端的 挂 载 点 所 在 的 /vvideo 或 /video 目 录 查看 到 NFS 服 务 器 端 /video 共 享 出 来 的 目录 下 的 所 有 数据 。 在 客户 端 上 查看 时 ，NFS 服 务 器 端的 /video 目 录 就 相 
当 于 客户 端 本 地 的 磁盘 分 区 或 目录 ， 几 乎 感觉 不 到 使 用 上 的 区 别 ， 根 据 NFS 服 务 器 端 授予 的 NFS 共 享 权限 以 及 共享 目录 的 本 地 系统 权限 ， 只 要 在 指定 的 NFS 客 户 端 操 作 挂 载 /v/video 或 /video 的 目录 ， 就 可 
以 将 数据 轻松 地 存 取 到 NFS 服 务 器 端 上 的 /video 目 录 中 了 。 


上 
| 
| 
1 
| 
上 


INFS Server 
共享 /video 目录 


NFS Client 
挂 载 /video 目录 
| 到 本 地 /video 

日 录 


NFS Client 
| 挂 载 /video 目录 
到 | 本 地 /vivideo 
目录 


10-5 NEFS 服 务 器 共享 与 客户 端 挂 载 结 构 


客户 端 挂 载 NFS 后 ， 本 地 挂 载 基 本 信息 显示 如 下 : 


[root@nfs-client ~]# df -h 


Filesystem Size Used Avail Uses Mounted on 
/dev/sdal 1.1T 467G 544G 47%$ / 
tmpfs 7.9G 0 7.9G 0% /dev/shm 


10.0.0.7: /video 1002G 59G 892G 7% /video #<==-10.0.0.7 为 nfs server 的 jp 地 址 提示 :; mount 源 目标 
mount 10.0.0.7: /video /video 


从 挂 载 信 息 来 看 ， 与 本 地 的 磁盘 分 区 几乎 没什么 差别 ， 只 是 文件 系统 对 应 列 的 开头 是 IP 地 址 的 形式 了 。 


经 过 前 面 的 介绍 ， 我 们 知道 NFS 系 统 是 通过 网 络 来 进行 数据 传输 的 〈 所 以 叫做 网 络 文件 系统 ) ， 因 此 ，NFS 会 使 用 一 些 端 口 来 传输 数据 ， 那 么 ，NFS 到 底 使 用 哪些 端口 来 进行 数据 传输 呢 ? 图 10-6 是 
NFS 服 务 两 次 重启 向 RPC 服 务 注册 的 端口 列表 结果 对 比 。 


由 上 面 的 实际 测试 得 知 ，NFS 在 传输 数据 时 使 用 的 端口 会 随机 选择 。 可 能 有 读者 会 纳 间 ， 既 然 这 样 ，NFS 客 户 端 是 怎么 知道 NFS 服 


是 哪个 端口 呢 ? 


答案 : 就 是 通过 RPC (中 文 意思 远程 过 程 调用 ， 英 文 Remote Procedure Call 简 称 RPC) 协议 /服务 来 实现 ， 这 个 RPC 服 务 的 应 用 在 门户 级 的 网 站 有 很 多 ， 例 如 : 百度。 下面 就 来 谈 谈 什么 是 RPC 协 议 / 服 
务 。 
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10-6 NFS 服务 启动 后 的 端口 对 比 
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表 10-1 给 出 了 部 署 NFS 服 务 的 准备 信息 ， 包 括 系统 版 本 、 各 服务 角色 、IP 地 址 等 。 


表 10-1 NFS 服 务 部 署 服务 器 角色 IP 列 表 


服务 器 系统 角 色 IP 
CentOS 6.6 x86 64 NFS 服务 居 端 (nfs-server) 10.0.0.7 
CentOS 6.6 x86 64 NFS 客户 端 1 (nfs-clientl ) 10.0.0.8 
CentOS 6.6 x86 64 NFS 客户 端 2 (nfs-client2 ) 10.0.0.9 


2.CentOS 6.6 x86_64 模 拟 环境 信息 


NFS 服 务 器 端 操作 系统 及 内 核 版 本 信息 如 下 : 


[root@nfs-server ~]# cat /etc/redhat-release 
CentOS release 6.6 (Final) 

[root@nfs-server ~]# uname -r 
2.6.32-504.e16.x86 64 

[root@nfs-server ~]# uname -m 

x86 64 


NFS 客 户 端 操作 系统 及 内 核 版 本 信息 如 下 : 


[root@nfs-clientl] ~]# cat /etc/redhat-release 
CentOS release 6.6 (Final) 

[root@nfs-clientl] ~]# uname -r 
2.6.32-504.e16.x86_64 

[root@nfs-clientl ~]# uname -m 

x86_64 


@ 提 示 : 经 常 有 朋友 和 学 生 抱怨 ， 在 网 上 找到 的 文档 者 不 好 用 ， 昭 着 做 者 做 不 出 来 。 我 想 其 中 的 一 个 原因 可 能 就 是 网 上 的 文档 大 部 分 未 留 下 当前 系统 环境 ， 导 致 读者 操作 时 因 环境 不 一 致 而 出 现 问题 
当然 也 与 所 写 内 容 是 不 是 真 的 在 生产 环境 经 受过 考验 有 直接 关系 ， 此 外 ， 网 上 的 文章 大 多 都 是 跳跃 性 的 ， 作 者 自己 已 会 的 就 会 不 自觉 地 略 过 ， 写 得 不 是 那么 详细 。 建 议 读者 多 考虑 有 教学 经 验 的 作者 写 的 
书 ， 一 般 对 于 知识 的 描述 会 好 很 多 。 


10.4 ”NFS 服 务 器 端的 设置 


10.4.1 ”NFS 软件 列表 


要 部 署 NFS 服 务 ， 需 要 安装 下 面 的 软件 包 : 
“ nfs-utils: NFS 服 务 的 主 程序 ， 包 括 tpc.nfsd、rpc.mountd 这 两 个 daemons 和 相关 文档 说 明 ， 以 及 执行 命令 文件 等 。 


“ tpcbind: CentOS 6.X 下 面 RPC 的 主 程序 。NFS 可 以 视 为 一 个 RPC 程 序 ， 在 启动 任何 一 个 RPC 程 序 之 前 ， 需 要 做 好 端口 和 功能 的 对 应 映射 工作 ， 这 个 映射 工作 就 是 由 rpcbind 服 务 来 完成 的 。 因 此 ， 在 提供 


NFS 服 务 之 前 必须 先 启动 fpcbind 服 务 才 行 。 


@ 注 意 : 有 关 RPC 协 议 知识 这 里 大 家 不 必 细 究 ， 详 细 说 明 可 见 本 章 结尾 命令 部 分 。 


10.5 “实战 配置 NFS 服 务 器 端 


10.5.1 NFS 服务 器 端 配 置 文件 路 径 


NFS 服 务 的 默认 配置 文件 路 径 为 : /etc/exports， 并 且 默 认 是 空 的 。 


[root@nfs-server ~]# 1s -1 /etc/exports 
—rWw-r--r--. 1 root root 0 Jan 12 2010 /etc/exports 
[root@nfs-server ~]# cat /etc/exports 


ia: NFS 默 认 配 置 文件 /etc/exports 其 实 是 存在 的 ， 但 是 没有 内 容 ， 需 要 用 户 自行 配置 。 


10.6 ”NFS 配 置 参数 权限 


本 节 将 介绍 NFS 服 务 器 端的 权限 设置 ， 即 /etc/exports 文 件 配置 格式 中 小 括号 () 里 的 参数 集 ， 具 体 见 表 10-5。 


表 10-5 ”NFS 配置 权限 设置 常用 参数 说 明 


参数 名 称 
TwW 党 
ro 
SyncC 这 


asYync 这 


no_root_ squash 


root_ squash 


all squash 这 


anonuld 这 


anongid 深 


参数 用 途 

Read-write， 表 示 可 读 写 权限 

Read-only， 表 示 只 读 权 限 

请 求 或 写 人 数据 时 ，、 数 据 同步 写 信 到 NEFS Server 的 硬盘 后 才 返 回 。 

优点 ， 数 据 安全 不 会 丢 ， 缺 点 ， 性 能 比 不 启用 该 参数 要 差 

写 人 时 数据 会 先 写 到 内 存 缓冲 区 ， 直 到 硬盘 有 空 档 才 会 再 写 人 磁盘 ， 这 样 可 以 提升 写 
人 效率 ! 风险 为 若 服务 器 宕 机 或 不 正常 关机 ， 会 损失 缓冲 区 中 未 写 信 磁盘 的 数据 (解决 办 
法 : 服务 天主 板 电池 或 加 UPS 不 间断 电源 ) 

访问 NFS Server 共 阐 目录 的 用 户 如 果 是 root 的 话 ， 它 对 该 共享 目录 具有 root 权限。 这 
个 配置 原本 是 为 无 盘 客 户 端 准备 的 。 用 户 应 避免 使 用 

如 果 访 问 NEFS Server 共享 目录 的 用 户 是 root， 则 它 的 权限 将 被 压缩 成 匿名 用 户 ， 同 时 
它 的 UID 和 GID 通常 会 变 成 nfsnobody 账号 身份 

不 管 访问 NFS Server 共享 目录 的 用 户 身 份 如 何 ， 它 的 权限 都 将 被 压缩 成 匿名 用 户 ， 同 
时 它 的 UID 和 GID 部 会 变 成 nfsnobody 账号 身份 。 在 早期 多 个 NFS 客户 端 同 时 读 写 NFS 
Server 数据 时 ， 这 个 参数 很 有 用 

在 生产 中 配置 NFS 的 重要 技巧 : 

1 ) 确保 所 有 客户 端 服 务 器 对 NES 共享 目录 具备 相同 的 用 户 访问 权限 

a.all_squash 把 所 有 客户 端 都 压缩 成 固定 的 匿名 用 户 (UID 相同 )。 

b. 就 是 anonuid，anongid 指定 的 UID 和 GID 的 用 户 。 

2) 所 有 的 客户 端 和 服务 融 端 都 震 要 有 一 个 相同 的 UID 和 GID 的 用 户 ， 即 nfsnobody 
(UID 必须 相同 ) 

参数 以 anon* 开头 即 指 anonymous 匿名 用 户 ， 这 个 用 户 的 UID 设置 值 通常 为 nfsnobody 
的 UID 值 ， 当 然 也 可 以 自行 设置 这 个 UID 值 。 但是，UID 必须 存在 于 /etc/passwd 中 。 在 
多 NFS Clients 时 ， 如 多 台 Web Server 共享 一 个 NFS 目录 ， 通 过 这 个 参数 可 以 使 得 不 同 的 
NES Clients 写 入 的 数据 对 所 有 NFS Clients 保持 同样 的 用 户 权 限 ， 即 为 配置 的 匿名 UID 对 
应 用 户 权 限 ， 这 个 参数 很 有 用 ， 一般 默认 即 可 

同 anonuid， 区 别 就 是 把 uid (用 户 id) 换 成 gid (组 id) 


提示 : 带 ※ 号 的 表示 常用 参数 ， 更 多 参数 请 查看 man exports。 


图 10-9 为 NFS 配 置 权 限 设置 常用 参数 关系 的 图 解 。 


大 家 可 以 通过 执行 man exports 查 阅 更 多 exports 参 数 说 明 ， 这 种 man 查 询 的 方法 是 通 向 高 手 层次 的 必 经 之 路 。 希 望 读 者 能 够 尽早 掌握 man 工 具 。 


配置 好 NFS 服 务 后 ， 通 过 cat/var/lib/nfs/etab 命 令 可 以 看 到 NFS 配 置 的 参数 以 及 默认 自 带 的 参数 。 结 果 如 下 : 


/oldboy 10.0.0.0/24 0 全 wdelay, hi de, nocrossmn 
no_subtree_chec ure 1o 


quash, m qua 
cks， acl, mapping=identi ee nonui i a ano ongi id=65534) 


怎么 样 ? 很 多 吧 ? 别 怕 ， 其 实 , 一般 情况 下 ， 大 多 数 参数 我 们 不 需要 理会 。 尤 其 是 对 于 初学 者 。 


是 否 设置 身份 压缩 


all_squash 


使 用 默认 值 


no_all_squash 


使 用 默认 值 


no_all_squash 


是 否 设 置 了 


no_root squash 


v 
是 否 同时 设置 了 NFS 服务 器 上 是 
anonuid_anongid 否 有 同 UID 用 户 


root :ED 


v 
是 否 同时 设置 了 


anonuid_anongid 


nfsnobody 


保留 登录 用 户 
的 UID，GID 2 


转 为 匿名 用 户 


nfsnobody 


图 10-9 ”NFS 配置 权限 设置 常用 参数 关系 图 


10.7 “NFS 服务 企业 案例 配置 实践 


该 例 将 实现 把 NFS server 上 的 /data 目 录 共 享 给 10.0.0.0/24 整 个 网 段 的 主机 ， 且 可 读 写 。 

1. 在 NFS Server 端 执行 的 操作 

这 里 以 CentOS 6.6 x86_64 系 统 为 例 讲解 ， 对 于 CentOS 5.x x86_64 系 统 ， 除 了 将 RPC 服 务 由 rpcbind 换 为 portmap 外 ， 其 他 差别 不 大 。 
在 NFS Server 端 执行 如 下 操作 (NFS Server 端 IP 为 10.0.0.7) 。 


1) 查看 CentOS 6.6 x86_64 系 统 环境 : 


[root@nfs-server ~]# cat /etc/redhat-release 
CentOs release 6.6 (Final) 

[root@nfs-server ~]# uname -r 
2.6.32-504.e16.x86 64 

[root@nfs-server ~]# uname -m 

x86 64 


2) 查看 并 启动 rpcbind 及 NFS 服 务 ， 然 后 加 入 开机 自 启动 : 


[root@nfs-server ~]# /etc/init.d/rpcbind status 

rpcbind (pid 996) is runninghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/... 

[root@nfs-server ~]# /etc/init.d/nfs status 

Ipc.svcgssd 已 停 

rpc.mountd (pid 1557) is runninghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/... 

nfsd (Pid 1573 1572 1571 1570 1569 1568 1567 1566) is runninghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/O0EBPS/Text/... 
rpc.rquotad (pid 1552) is runninghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/... 

[root@nfs-server ~]# chkconfig --list rpcbind 加 


rpcbind Qi-off 1s off. ,2 wn 3: on 4: on S: on 6: off 
[root@nfs-server ~]# chkconfig --list nfs 
nfs Dr or Ay mee Zev -wm 4: on 5S on 6: off 


[root@nfs-server ~]# tail -3 /etc/rc.local 
#start up nfs serivce by oldboy at 20150613 
/etc/init.d/rpcbind start 

/etc/init.d/nfs start 


chkconfig 和 /etc/rc.local 的 配置 二 选 一 即 可 。 


3) 创建 需要 共享 的 目录 并 授权 (工作 中 这 里 的 /data 应 该 是 已 存在 的 目录 ) : 


[root@nfs-server ~]# mkdir -p /data # <== 创 建 要 共享 的 NES 目录， 也 可 使 用 已 有 的 目录 
[root@nfs-server ~]# touch /data/oldboy.txt # <== 创 建 一 个 测试 文件 
[root@nfs-server ~]# chown -R nfsnobody.nfsnobody /data 

[root@nfs-server ~]# 1s -ld /data # <== 养 成 操作 后 检查 的 习惯 

drwxr-xr-x 2 nfsnobody nfsnobody 4096 Jun 13 17: 34 /data 

#<== 在 NFS 服 务 器 端 把 要 共享 的 NFS 目 录 赋 予 NFS 默 认 用 户 nfsnobody 用 户 和 用 户 组 权限 ， 如 不 设置 这 个 权限 ， 会 导致 NFS 客 户 端 访 问 时 无 法 通过 NFS 本 地 共享 目录 权限 写 入 数据 。 当 然 也 可 以 给 NFS 服 务 器 端 本 地 共享 目录 777 的 权限 
[root@nfs-server ~]# grep nfsnobody /etc/passwd 

nfsnobody: x: 65534: 65534: Anonymous NFS User: /var/lib/nfs: /sbin/nologin 


4) 配置 NFS 服 务 配 置 文件 ， 并 在 本 地 查看 挂 载 信息 情况 : 


root@nfs-server ~ 
/data 10.0.0.0/24 ( 


root@nfs-server ~ 


# tail -2 /etc/exports 


#shared /data by oldboy for students 


rw.sync) 


#<== 相 当 于 使 用 Vi 编辑 NFS 配 置 文件 /etc/exports 然 后 输入 /data 10.0.0.0/24 (rw.sync) 一 样 ， 这 里 故意 把 括号 里 的 各 号 写成 了 点 号 ， 看 看 会 报错 不 


# exportfs -rv 


exportfs: /etc/exports: 1: unknown keyword "rw.sync" # <== 加 载 配 置 ， 果 然 提 示 错 误 
root@nfs-server ~]# sed -i 's#rw.sync#trw,， sync#g' /etc/exports #<== 把 点 号 改 回 过 号 
root@nfs-server ~]# cat /etc/exports # <== 查 看 通过 生成 的 最 终 配 置 文件 结果 
#shared /data by oldboy for students 
/data 10.0.0.0/24 (rw, sync) 
root@nfs-server ~]# exportfs -rv # <== 修 改 配 置 文件 /etc/exports 后 ， 需 要 重新 加 载 NFS 配 置 
exporting 10.0.0.0/24: /data 
root@nfs-server ~]# showmount -e localhost # < 一 别 忘 了 在 NFS 服 务 器 本 地 查看 挂 载 情 况 


Export list for localhost: 
/data 10.0.0.0/24 


/data 


10.0.0.0/24 (rw, sync, wdelay, hide, nocrossmnt, secure, root_ squash, no all squash, no_subtree check, secure locks, acl, anonuid=65534, anongid=65534) 


root@nfs-server ~]# cat /var/1lib/nfs/etab 村 一 通过 cat /var/1ib/nfs/etab 查看 NFS server 配 置 文件 的 参数 (包括 默认 加 载 的 参数 ) 


大 多 参数 大 家 并 不 需要 深入 了 解 


可 以 在 本 地 把 服务 器 端 同时 又 作为 客户 端 进行 挂 载 测 试 ， 执 行 的 命令 和 结果 如 下 : 


[root@nfs-server ~]# mount -t nfs 10.0.0.7: /data /mt 
[root@nfs-server ~]# df -h 


Filesystem Size Used Avail Uses Mounted on 
/dev/sda3 Tle 158 5.36 22% 7 

tmpfs 497M 0 497M 0% /dev/shm 
/dev/sdal 190M 27M 153M 15% /boot 


10.0.0.7: /data 7.1G 1.5G 5.3G 22% /mnt 


根据 提示 可 知 挂 载 是 成 功 的 ， 到 此 NFS 服 务 器 端的 配置 完毕 。 


[root@nfs-server ~]#cat /var/lib/nfs/rmtab 
#<== 等 客户 端 挂 载 了 后 ， 通 过 执行 cat /var/1ib/nfs/rmtab 来 查看 哪些 客户 端 主机 挂 载 了 NFS server 
10.0.0.7: /data: 0x00000001 #<== 经 过 测试 ， 目 前 适合 5.Xx， 不 适合 6.x 


说 明 : 


上 文中 的 配置 /oldboy 10.0.0.0/24 (rw，sync) ， 其 中 “24” 和 “ (” 之 间 不 能 有 空格 。 


“ 修改 /etc/exports 后 ， 需 执行 /etc/init.d/nfs reload 或 exportfs-rv 重 新 加 载 NFS 配 置 ， 但 不 需要 restart NFS。 在 生产 环境 中 ， 此 操作 要 注意 。 


“ 使 用 yum/rtpm 包 安装 的 软件 ，service nfs reload 启 动 方式 等 同 于 /etc/init.d/nfs reload。 


2. 在 NFS Client 端 执行 的 操作 


在 所 有 的 NFS Client 上 执行 的 操作 都 是 相同 的 ， 这 里 以 CentOS 6.6 NFS Client1 为 例 说 明 (NFS Client1 端 \P 为 10.0.0.8) 。 具 体操 作 如 下 。 


1) 检查 CentOS 6.6 x86_64 系 统 环境 : 


[root@nfs-clientl] ~]# cat /etc/redhat-release 
CentOS release 6.6 (Final) 

[rootenfs-client1 ~]# uname -r 
2.6.32-504.e16.x86 64 

[rootenfs-client1l ~]# uname -m 

x86_64 


2) 安装 客户 端 软件 rpcbind: 


[root@nfs-clientl ~]# yum install rpcbind -y 
[root@nfs-clientl ~]# rpm -qa rpcbind 
rpcbind-0.2.0-11.e16.x86_ 64 


为 了 使 用 howmount 等 功能 ， 所 有 客户 端 最 好 也 要 安装 NFS 软 件 ， 但 是 不 启动 NFS 服 务 。 


[rootenfs-client1 ~]# yum install nfs-utils -Y 
[rootenfs-client1 ~]# rpm -qa nfs-utils 
nfs-utils-1.2.3-54.e16.x86_ 64 


3) 启动 RPC 服 务 (注意 ,无 须 启动 NFS 服 务 ) 。 


[root@nfs-clientl] ~]# LANG=en 

[rootenfs-client1 ~]# /etc/init.d/rpcbind start 

Starting rpcbind: [ OK ] 
[root@nfs-client1 ~]# /etc/init.d/rpcbind status 


rpcbind (pid 5337) is runninghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/... 


[root@nfs-clientl ~]# showmount -e 10.0.0.7 

Export list for 10.0.0.7: 

/data 10.0.0.0/24 

#<== 如 果 此 时 出 现 如 下 错误 ， 多 数 原 因 是 因为 防火 墙 没 关 导 致 的 

[root@nfs-clientl ~]# showmount -e 10.0.0.7 #<== 恭 豆 各 位 ， 这 里 遭遇 了 故障 

clnt create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host) 


执行 如 下 命令 关闭 防火 墙 。 


[rootenfs-client1 ~]# /etc/init.d/iptables stop 


iptables: Setting chains to Policy ACCEPT: filter E CK } 
iptables: Flushing firewall rules: [ OK ] 
iptables: Unloading modules: [ OK 


[rootenfs-client1 ~]# /etc/init.d/iptables status 
iptables: Firewall is not running. 


4) 挂 载 NFS 共 享 目录 /data， 命令 如 下 : 


[root@nfs-clientl ~]# showmount -~e 10.0.0.7 # <== 挂 载 前 首先 检查 有 权限 需要 挂 载 的 信息 ， 是 否 能 够 挂 载 


Export list for 10.0.0.7: 
/data 10.0.0.0/24 # <== 可 以 清晰 地 看 到 共享 了 /data 目 录 


[root@nfs-clientl ~]# mount -t nfs 10.0.0.7: /data /mnt #< 一 执行 挂 载 命令 挂 载 
[rootenfs-client1 ~]# df -h #<== 查 看 挂 载 后 的 结果 . 
Filesystem Size Used Avail Uses Mounted on 


/dev/sda3 7.1G 1.4G 5.4G 21%/ 


tmpfs 497M 0 497M 0% /dev/shm 

/dev/sdal 190M 27M 153M 15% /boot 

10.0.0.7: /data 7.1G 1.5G 5.3G 22% /mnt #<== 这 就 是 客户 端 挂 载 后 的 结果 
[rootenfs-client1 ~]# mount 

/dev/sda3 on / type ext4 (rw) 

proc on /proc type proc (rw) 

sysfs on /sys type sysfs (rw) 

devpts on /dev/pts type devpts (rw, gid=5, mode=620) 

tmpfs on /dev/shm type tmpfs (rw) 

/dev/sdal on /boot type ext4 (rw) 

none on /proc/sys/fs/binfmt misc type binfmt misc (rw) 

sunrpc on /var/lib/nfs/rpc pipefs type opipers (rw) 

10.0.0.7: /data on /mnt type nfs (rw, vers=4, addr=10.0.0.7, clientaddr=10.0.0.8) 


5) 测试 读 写 数据 ， 命 令 如 下 : 


[root@nfs-clientl ~]# 1s /mnt/ #<== 这 是 服务 器 端 事先 建立 的 文件 ， 表 示 可 读 


oldboy.txt 

[root@nfs-clientl1 ~]# mkdir /mnt/test #<== 表 示 可 写 
[root@nfs-clientl ~]# 区 本 人 4 

-IW-I--r-- 1 root 0 6 月 13 19: 10 oldboy.txt 


drwxr-xr-x 2 nfsnobody rade 4096 6 月 13 19: 11 test #<== 用 户 和 用 户 组 都 是 nfsnobody 啊 。 没 错 ， 默 认 所 有 的 客户 端 写 入 文件 和 目录 都 会 被 压缩 成 默认 的 UID 为 65534 的 nfsnobody 用 户 


6) 将 rpcbind 服 务 和 挂 载 加 入 开机 自 启动 ， 如 下 : 


[root@nfs-clientl1 ~]# echo "/etc/init.d/rpcbind start" >>/etc/rc.local 
[root@nfs-clientl1 ~]# echo "/bin/mount -t nfs 10.0.0.7: /data /mt" >>/etc/rc.local 
[root@nfs-clientl1 ~]# tail -2 /etc/rc.local 

/etc/init.d/rpcbind start 

/bin/mount -t nfs 10.0.0.7: /data /mnt 


到 此 ，NFS 客 户 端 挂 载 成 功 。 


10.8 “NFS 服务 的 重点 知识 梳理 


当 多 个 NFS 客 户 端 访问 服务 器 端的 读 写 文件 时 ， 需 要 具有 以 下 几 个 权限 : 


“NFS 服务 器 /etc/exports 设 置 需 要 开放 可 写 入 的 权限 ， 即 服务 器 端的 共享 权限 。 
“NFS 服务器 实际 要 共享 的 NES 目录 权限 具有 可 写 入 w 的 权限 ， 即 服务 器 端 本 地 目录 的 安全 权限 。 


“ 每 台 机 器 都 对 应 存在 和 NFS 上 默认 配置 UID 的 相同 UID 65534 的 nfsnobody 用 户 (确保 所 有 客户 端的 访问 权限 统一 ， 否 则 每 个 机 器 需要 同时 建立 相同 UID 的 用 户 ， 并 覆盖 NFS 的 默认 用 户 配 置 ) 。 


只 有 满足 上 述 三 个 条 件 ， 多 个 NFS 客 户 端 才能 具有 查看 、 修 改 、 删 除 其 他 任意 NFS 客 户 端 上 传 文件 的 权限 ， 这 在 大 规模 的 集群 环境 中 作为 集群 共享 存储 时 尤为 重要 。 


表 10-6 列 出 了 常用 的 重点 NFS 服 务 文件 或 命令 。 


表 10-6 ”重点 NFS 服 务 文件 或 命令 的 说 明 


NFS 常用 路 径 


NFS 服务 主 配置 文件 ， 配 置 NFS 具体 共享 服务 
[root@nfs-server ~]# cat /etc/exports 
#shared data for bbs by oldboy at 20140901 
/data 10.0.0.0/24 (rw,sync) 


的 地 点 ， 默 认 内 容 为 空 。 以 行为 单位 


/etc/exports 


NFS 常用 路 径 说 明 
NFS 服务 的 管理 命令 。 例 如 : 可 以 加 载 NFS 配置 生效 ， 还 可 以 直接 配置 NFS 共享 
目录 ， 即 无 需 配 置 /etc/exports 实现 共享 
[root@nfs-server ~]# exportfs -rv 各 加 载 配 置 生 效 ， 等 价 优雅 重 局 /etc/ 
init.d/nfs reload 
exporting 10.0.0.0/24:/data 
/usr/sbin/exportfs 这 里 有 一 个 服 月 3 的 概念 ， 即 超市 、 银 行 到 关门 时 间 了， 还 会 继续 提供 服务 
给 已 经 在 门 里 A 人 ,但 是 新 来 的 人 就 会 被 挡 在 门 外 了 。 网 站 服务 平滑 重启 ， 是 提升 
用 户 体验 必须 要 考虑 的 
maintain table of exported NFS file systems 
exportfs 不 但 可 以 加 载 配 置 生效 ， 也 可 以 通过 命令 直接 共享 目录 。 越 过 /etc/ 
exports， 但 是 重启 失效 
常用 来 在 客户 端 查 看 NFS 配置 及 挂 载 结果 的 命令 
/usr/sbin/showmount show mount information for an NFS server 
配置 nfsserver， 分 别 在 服务 器 端 及 客户 端 查 看 挂 载 情 况 
NFS 配置 文件 的 完整 参数 设 定 的 文件 (有 很 多 没有 配置 但 是 默认 就 有 的 NFS 参数 ) 
/var/lib/nfs/etab master table of exports 
适合 C5.x 记录 曾经 挂 载 过 的 NFS 客户 端的 信息 ,包括 IP 地 址 等 ，CentOS 6.6 没 
有 此 文件 了 
客户 端 挂 载 参数 
[root@B mt]# grep mt /proc/mounts 
10.0.0.7:/data/ /mt nfs4 
rw,relatime,vers=4,rsize=131072,wsize=131072,namlen=255,hard,proto= 
tcp,port=0,timeo=600, retrans=2, sec=sys,clientaddr=10.0.0.8,minorversi 
on=0,1local_ lock=none,addr=10.0.0.7 0 0 
/var/lib/nfs/rmtab 客户 端 访问 服务 需 exports 的 信息 列表 


/var/lib/nfs/etab 


/var/lib/nfs/xtab 


/proc/mounts 


10.9 “NFS 客户 端 挂 载 


10.9.1 ”NFS 客户 端 挂 载 命 令 格式 


这 里 先 强调 下 客户 端 挂 载 的 命令 格式 ， 具 体 见 表 10-7。 
表 10.7 客户 端 挂 载 的 命令 格式 
挂 载 命 令 挂 载 的 格式 类 型 NFS 服务 器 端 提 供 的 共享 目录 NFS 和 
mount -t nfs 10.0.0.7:/data /mnt (必须 存在 ) 
完整 挂 载 命 令 为 : mount -t nfs 10.0.0.7:/data /mnt， 此 命令 要 在 客户 端 执 行 


下 面 介绍 执行 挂 载 的 过 程 。 


[root@nfs-clientl ~]# showmount -e 10.0.0.7 # < 一 挂 载 前 首先 检查 有 权限 需要 挂 载 的 信息 ， 是 否 能 够 挂 载 
Export list for 10.0.0.7: 
/data 10.0.0.0/24 #<== 可 以 清晰 地 看 到 共享 了 /data 目 录 


[root@nfs-clientl ~]# mount -t nfs 10.0.0.7: /data /mnt #< 一 执行 挂 载 命令 挂 载 
[root@nfs-clientl ~]# df -h #< 一 查看 挂 载 后 的 结果 。 

Filesystem Size Used Avail Uses Mounted on 

/dev/sda3 7.1G 1.4G 5.4G 21%/ 

tmpfs 497M 0 497M 0% /dev/shm 

/dev/sdal 190M 27M 153M 15% /boot 

10.0.0.7: /data 7.1G 1.5G 5.3G 22% /mnt #< 一 这 就 是 客户 端 挂 载 后 的 结果 


[zootenfs-client1 ~]# mount #<== 查 看 挂 载 后 的 结果 

/dev/sda3 on / type ext4 (rw) 

proc on /proc type proc (rw) 

sysfs on /sys type sysfs (rw) 

devpts on /dev/pts type devpts (rw, gid=5, mode=620) 

tmpfs on /dev/shm type tmpfs (rw) 

/dev/sdal on /boot type ext4 (rw) 

none on /proc/sys/fs/binfmt misc type binfmt misc (rw) 

sunrpc on /var/lib/nfs/rpc pipefs type rpc pipefs (rw) 

10.0.0.7: /data on /mnt type nfs (rw, vers=4, addr=10.0.0.7, clientaddr=10.0.0.8) 
[root@nfs-clientl1 ~]# grep mnt /proc/mounts #<== 查 看 挂 载 后 的 结果 

10.0.0.7: /data/ /mnt nfs4 rw, relatime, vers=4, rsize=131072, wsize=131072, namlen=255, hard, proto=tcp, port=0, timeo=600, retrans=2, sec=sys, clientaddr=10.0.0.8, minorversion=| 


进行 到 这 一 步 ，NFS 客 户 端 就 已 经 挂 载 成 功 了 。 可 以 进入 /mnt 写 入 一 些 实验 数据 ， 然 后 去 看 看 NFS Server 端 的 /data 里 是 否 有 从 NFS 客 户 端 /mnt 目 录 传 过 来 的 数据 。 


下 面 进行 读 写 数据 测试 。 


[root@nfs-clientl ~]# 1s /mnt/ #<== 这 是 服务 器 端 事先 建立 的 文件 ， 表 示 可 读 

Oldboy .txt 

[root@nfs-clientl ~]# mkdir /mnt/test #<== 表 示 可 写 

[root@nfs-clientl ~]# 1s -1 /mnt/ 总 用 量 4 

EN | Book root 0 6 月 13 19: 10 oldboy.txt 

drwxr-xr-x 2 nfsnobody nfsnobody 4096 6 月 13 19: 11 test #<== 用 户 和 用 户 组 都 是 nfsnobody。 没 错 ， 默 认 所 有 的 客户 端 写 入 文件 和 目录 都 会 被 压缩 成 默认 的 uid 为 65534 的 nfsnobody 用 户 


10.10 ”生产 环境 高 级 案例 配置 实战 


10.10.1 ”指定 固定 UID 用 户 配置 NFS 共 享 的 实例 


指定 固定 UID 用 户 配置 NFS 共 享 在 CentOS 5.5 x86_64 及 以 下 生产 环境 中 常用 ， 在 CentOS 6.x 的 场景 不 是 必须 要 用 的 ， 这 里 仅仅 作为 一 个 例子 讲解 。 


为 什么 要 讲 这 个 呢 ?” 因 为 ， 在 实际 生产 环境 下 ， 一 般 为 多 台 NFS 客 户 端 服 务 器 同时 挂 一 台 NFS Server， 这 样 A 客 户 端 写 数据 后 ， 希 望 B、(C 等 其 他 客户 端 也 能 同时 读 ， 能 增删 改 A 服 务 器 写 入 的 文件 属性 
及 内 容 。 因 此 ， 这 就 需要 NFS 服 务 器 端 对 所 有 客户 端 权限 统一 。 而 恰恰 CentOS 5.5 系 统 的 NFS 有 个 bug， 就 是 没有 UID 为 65534 的 nfsnobody 用 户 ，nfsnobody 对 应 的 UID 为 一 长 串 数字 ， 若 将 nfs-utils 更 新 
到 1.0.9-60、nfs-utils-libs 更 新 到 1.0.8-7.9 即 可 解决 此 bug。 


此 时 需要 在 客户 端 及 服务 器 端 建立 一 个 统一 的 NFS 用 户 : 名 称 、UID 和 GID 均 相同 。 也 可 使 用 默认 的 匿名 用 户 nfsnobody。 


下 面 以 CentOS 6.6 为 例 讲解 修改 共享 用 户 UID 的 例子 。 


10.11 “NFS 客户 端 挂 载 深入 


10.11.1 “NFS 客户 端 挂 载 参数 说 明 


在 NFS 服 务 器 端 可 以 通过 cat/var/lib/nfs/etab 查 看 NFS 服 务 器 端 配 置 参 数 的 细节 。 在 NFS 客 户 端 可 以 通过 cat/proc/mounts 查 看 mount 的 挂 载 参数 细节 。 
1.mount 挂 载 及 fstab 文 件 说 明 


通过 如 下 命令 在 NFS 客 户 端 测试 挂 载 获取 的 默认 挂 载 参 数 : 


[rootenfs-client1 video]# grep mnt /proc/mounts 
10.0.0.7: /data/ /mnt nfs4 rw, relatime, vers=4, rsize=131072, wsize=131072, namlen=255, hard, proto=tcp, port=0, timeo=600, retrans=2, sec=sys, clientaddr=10.0.0.8, minorversion=| 


表 10-8 提 供 了 NFS 客 户 端 挂 载 参数 说 明 。 


表 10-8 NEFS 客 户 端 挂 载 参数 列表 


参 数 默认 参数 
当 在 客户 端 执行 挂 载 时 ， 可 选择 是 前 人 台 (fg) 还 是 在 后 台 (bg) 
ps 执行 。 若 在 前 台 执行， 则 mount 会 持续 尝试 挂 载 ， 直 到 成 功 或 
bi 挂 载 时 间 超 时 为 止 ， 若 在 后 芷 全 执行 ， 避 mount 会 在 后 台 持 续 多 | 经 
条 次 进行 mount， 而 Ti 影响 到 前 台 的 其 他 程序 操作 。 如 果 网 络 联 
机 不 稳定 ， 或 是 骼 常常 需要 开关 机 ， 建 议 使 用 bg 比较 妥当 
当 NES Client 人 soft 挂 载 Server 时 ， 若 网 络 或 Server 现 问 
题 ， 造 成 Client 和 Server 无 法 传输 资料 ，Client 就 会 一 直 尝 试 ， 
pe timeout 后 显示 错误 才 停 止 。 若 使 用 soft mount 的 话 ， 可 能 
soft 会 在 timeout 出 现时 造成 资料 丢失 ， 故 一 般 不 建议 使 用 。 若 用 hard 
hard hard 模 式 挂 载 硬 盘 时 ， 刚 与 soft 相反 ， 此 时 Client 会 一 ge 坏 


连 线 到 server， 若 server 有 回应 就 继续 刚才 的 操作 ， 若 没有 回应 
NFS Client 会 一 下 尝试 ， 此 时 无 法 umount 或 kill， 所 以 常 稼 会 
配合 intr 使 用 上 月。 这 是 默认 值 


参数 默认 参数 
当 使 用 hard 挂 载 的 资源 timeout 后 ， 若 有 指定 intr 参数 ， 可 
intr 以 在 timeout 后 把 它 中 断 掉 ， 这 避免 出 问题 时 系统 整个 被 NFS| 无 
锁 死 ， 建 议 使 用 intr 
读 出 (rsize) 与 写 入 (wsize) 的 区 块 大 小 (block size)， 这 个 | CentOS 5: 默认 值 


设置 值 可 以 影响 客户 端 与 服务 需 端 传输 数据 的 缓冲 存储 量 ， 一 | rsize=1024 
rsize 般 来 说 ， 如 果 在 局 域 网 内 (LAN)， 并 且 客 户 端 与 服务 需 端 都 具 | wsize=1024 


wsize 有 足够 的 内 存 ， 这 个 值 可 以 设置 大 一 点 ， 比 如 说 65535 ( bytes )， 
提升 缓冲 区 块 将 提升 NFS 文件 系统 的 传输 能 力 。 但 设置 的 值 也 | CentOS 6: 默认 值 
不 要 太 大 ， 最 好 以 网 络 能 够 传输 的 最 大 值 为 限 rsize=131072,wsize=131072 
使 用 UDP 协定 来 传输 资料 ， 在 LAN 中 会 会 有 比较 好 的 性 能 。 
proto=udp | 若 要 跨越 Internet 的 话 ， 使 用 proto=tcp 多 传输 的 数据 会 有 比较 | proto=tcp 
好 的 纠 错 能 力 


可 通过 man nfs 查 看 上 述 参数 信息 。 如 果 追 求 极致 ， 可 以 用 如 下 参数 挂 载 : 


mount -t nfs -o fg, hard, intr, rsize=13107, wsize=131072 10.0.0.7: /data/ /mt 


但 是 如 果 考 虑 以 简单 、 易 用 为 原则 ， 直 接 选 择 默认 值 就 可 以 了 。 


mount -t nfs 10.0.0.7: /data/ /mt 


表 10-8 中 的 参数 了 解 即 可 ， 无 需 细 究 。 表 10-9 是 mount-o 参 数 对 应 的 选项 列表 。 


表 10-9 mount-o 参 数 对 应 的 选项 


suid 当 挂 载 的 文件 系统 上 有 任何 SUID 的 各 序 阿 ， 只 要 使 用 nosuid 就 能 够 取消 设置 
nosuid | SUID 的 功能 (SUID ， 在 Linux 基础 学 习 篇 权限 管理 里 面 讲 过 了 


可 以 指定 文件 系统 是 只 读 (ro) 或 可 写 (rw) 


是 否 可 以 保留 装置 文件 的 特殊 功能 ? 一 般 来 说 只 有 /dev 才 会 有 特殊 的 装置 ， 因 此 
nodev | 可 以 选择 nodev 
exec 是 否 具有 执行 文件 的 权限 ?如 果 想 要 挂 载 的 仅 是 普通 资源 数据 区 (例如: 图 片 、 
noexec | 附件 )， 那么 么 可 以 选择 noexec 
user 是 否 允 许 用 户 拥有 文件 的 挂 载 与 纯 载 功能 ? 如 果 要 保护 文件 系统 ， 最 好 不 要 为 用 
nouser | 户 提 供 挂 载 与 印 载 功能 
auto 这 个 auto 指 的 是 “mount-a” 时 会 不 会 被 挂 载 的 项 目 ， 如 果 不 需 要 这 个 分 区 随时 
noauto | 被 挂 载 ， 可 以 设置 为 noauto 


eXeC 


nouser 


auto 


2. 把 man mount 后 的 -o 参 数 中 英 翻译 对 比 


下 面 是 mount 命 令 的 -o 选 项 后 面 可 以 接 的 参数 ， 注 意 ， 有 些 选 项 只 有 出 现在 /etc/fstab 里 才 有 效 ， 下 面 这 些 选 项 可 以 应 用 在 绝 大 多 数 文件 系统 上 ， 但 是 sync 公 适合 ext2、ext3、fat、vfat 和 ufs 等 文件 系 
统 。 
“ async: 涉及 文件 系统 I/O 〇 的 操作 都 是 异步 处 理 ， 即 不 会 同步 写 到 磁盘 ， 此 参数 会 提高 性 能 ， 但 会 降低 数据 安全 。 一 般 情况 ， 生 产 环境 下 不 推荐 使 用 。 除 非 对 性 能 要 求 很 高 ， 对 数据 可 靠 性 不 要 求 的 场 
合 。 


“ sync; 该 参数 与 4sync 相 反 。 有 I/ 〇 操作 时 ， 都 会 同步 处 理 [/O 〇 ， 即 把 数据 同步 写 入 硬盘 。 此 参数 会 牺牲 一 点 I/O 〇 性能， 但 是 ， 换 来 的 是 掉 电 后 数据 的 安全 性 。※ 

“ atime; 在 每 一 次 数据 访问 时 ， 会 同步 更 新 访问 文件 的 inode 时 间 戳 ， 是 默认 选项 ， 在 高 并 发 的 情况 下 ， 建 议 通过 明确 加 上 noatime， 来 取消 这 个 默认 项 ， 以 到 达 提 升 IO 性 能 ， 优 化 I/O 的 目的 。 
“ to: 以 只 读 的 方式 挂 载 一 个 文件 系统 。 

“ rw: 以 可 写 的 方式 挂 载 一 个 文件 系统 。※ 

“ auto; 能 够 被 自动 挂 载 通 过 -a 选项 。 


“noauto: 不 会 自动 挂 载 文件 系统 。 


.defaults: 这 是 fstab 里 的 默认 值 ， 包 括 rw、suid、dev、exec、auto、nouser、async， 默 认 情 况 大 部 分 都 是 默认 值 。 

“ exec: 允许 文件 系统 执行 二 进 制 文件 ， 取 消 这 个 参数 ， 可 以 提升 系统 安全 性 。 

“ noexec: 在 挂 载 的 文件 系统 中 不 允许 直接 执行 任何 二 进 制 的 程序 ， 注 意 ， 仅 对 二 进 制程 序 有 效 ， 即 使 设置 了 noexec、shell，php 程 序 还 是 可 以 执行 的 。* 
“ noatime: 访问 文件 时 不 更 新 文件 的 inode 时 间 蕉 ， 高 并 发 环境 下 ， 推 荐 显 式 应 用 该 选项 ， 可 以 提高 系统 I/ 〇 性 能 。※ 

“ nodiratime: 不 更 新 文件 系统 上 的 ditrectory inode 时 间 戳 ， 高 并 发 环境 ， 推 荐 显 式 应 用 该 选项 ， 可 以 提高 系统 [/O 性 能 。※ 

“ nosuid; 不 允许 set-user-identifier or set-group-identifier 位 生效 。* 

' suid: 允许 set-usef-identifier or set-group-identifier 位 生效 。 

“ nouser: 禁止 一 个 普通 用 户 挂 载 该 文件 系统 ， 这 是 默认 挂 载 时 的 默认 选项 。 


' temount:; 尝试 重新 挂 载 一 个 已 经 挂 载 了 的 文件 系统 ， 这 通常 被 用 来 改变 一 个 文件 系统 的 挂 载 标志 ， 从 而 使 得 一 个 只 读 文件 系统 变 的 可 写 ， 这 个 动作 不 会 改变 设备 或 者 挂 载 点 。 当 系统 故障 时 进入 single 
或 rescue 模 式 修复 系统 时 ， 会 发 现 根 文 件 系 统 经 常会 变 成 只 读 文 件 系统 ， 不 允许 修改 ， 此 时 该 命令 就 派 上 用 场 了 。 具 体 命 令 为 : mount-o remount，rw/， 表 示 将 根 文件 系统 重新 挂 载 使 得 可 写 。single 或 rescue 
模式 修复 系统 时 这 个 命令 十 分 重要 。※ 


' dirsync: 目录 更 新 时 同步 写 入 磁盘 。* 


其 中 ,， 标 有 “※” 的 为 性 能 优化 重要 选项 ， 标 有 “*” 的 为 安全 优化 重要 选项 。 一 般 情况 安全 的 参数 和 性 能 参数 是 对 立 的 ， 即 越 安全 性 能 就 越 差 。 


10.12 “NFS 系统 应 用 的 优 缺 点 说 明 


同一 个 共享 目录 ， 也 就 是 将 其 作为 共享 存储 使 用 ， 这 样 可 以 保证 不 同 节 点 客户 端 数据 的 一 致 性 ， 在 集群 架构 环境 中 经 常会 用 到 。 如 果 是 Windows 和 Linux 混 合 环 


NFS 服 务 可 以 让 不 同 的 客户 端 挂 载 使 
境 的 集群 系统 ， 可 以 用 samba 来 实现 。 


“ 简单， 容易 上 手 ， 容 易 掌 握 。 


"NFS 文件 系统 内 数据 是 在 文件 系统 之 上 的 ， 即 数据 是 能 看 得 见 的 。 


:部署 快速 ， 维 护 简单 方便 ， 且 可 控 ， 满 足 需求 就 是 最 好 的 。 


:可靠 ， 从 软件 层面 上 看 ， 数 据 可 靠 性 高 ， 经 久 耐 用 。 数 据 是 在 文件 系统 之 上 的 。 


“ 服务 非常 稳定 。 


局 限 : 

“ 存在 单 点 故障 ， 如 果 NFS Server 宕 机 了 ， 所 有 客户 端 都 不 能 访问 共享 目录 。 这 个 在 后 期 会 通过 负载 均衡 及 高 可 用 方案 弥补 。 
“ 在 大 数据 高 并 发 的 场合 ，NFS 效 率 、 性 能 有 限 〈2 千 万 /日 以 下 PV 的 网 站 不 是 瓶颈 ， 除 非 网 站 架构 设计 太 差 ) 。 

“ 窗户 端 认证 是 基于 IP 和 主机 名 的 ， 权 限 要 根据 ID 识别 ， 安 全 性 一 般 〈 用 于 内 网 则 问题 不 大 ) 。 

: NEFS 数 据 是 明文 的 ，NFS 本 身 不 对 数据 完整 性 进行 验证 。 


:多 台 客 户 机 器 挂 载 一 个 NFS 服 务 器 时 ， 连 接管 理 维护 麻烦 (耦合 度 高 ) 。 尤 其 当 NFS 服 务 器 端 出 问题 后 ， 所 有 NEFS 客 户 端 都 处 于 挂 掉 状 态 〈 测 试 环境 可 使 用 autofs 自 动 挂 载 解决 ， 正 式 环境 可 修复 NFS 服 
务 或 强制 卸载 ) 。 


“ 涉及 了 同步 (实时 等 待 ) 和 异步 〈 解 耦 ) 的 概念 ，NFS 服 务 器 端 和 客户 端 相 对 来 说 就 是 宰 合 度 有 些 高 。 网 站 程序 也 是 一 样 ， 尽 量 不 要 夸 合 度 太 高 ， 系 统 及 程序 架构 师 的 重要 职责 就 是 为 程序 及 架构 解 
耦 ， 让 网 站 的 扩展 性 变 得 更 好 。 


应 用 建议 : 


对 于 大 中 小 型 网 站 (参考 点 2000 万 /日 PV 以 下 ) 线 上 应 用 ， 都 有 用 武之 地 。 门 户 网 站 也 会 有 应 用 ， 生 产 场景 应 该 多 将 数据 的 访问 往 前 推 ， 即 尽量 将 静态 存储 里 的 资源 通过 CDN 或 缓存 服务 器 提供 服务 ， 
如 果 没 有 缓存 服务 或 架构 不 好 ， 存 储 服务 器 数量 再 多 也 是 打 不 住 讨 力 的 ， 而 且 用 户 体验 会 很 


10.13 ”本 章 涉 及 的 相关 知识 


10.13.1 showmount 命 令 说 明 


showmount 命 令 一 般 用 于 从 NFS 客 户 端 检 查 NFS 服 务 器 端 共享 目录 的 情况 ， 其 常用 的 参数 说 明 见 表 10-10。 


表 10-10 ”常用 参数 说 明 


用 途 及 实例 结果 
显示 NFS 服务 天 输出 的 目录 列表 : 


[root@nfs-client ~]# showmount -e 10.0.0.14 
Export list for 10.0.0.14: 
-e --exports /oldboy 10.0.0.0/24 
[root@nfs-client ~]# showmount --exports 10.0.0.14 
EXBOrE ,Lit SEGE 10.0.0=t4: 
/oldboy 10.0.0.0/24 
显示 NFS 服务 器 中 提供 共享 的 目录 : 
过 __ [root@nfs-client ~]# showmount -d 10.0.0.14 
Directories on 10.0.0.14: 
/oldboy 
以 ip:/dir 格式 显示 NFS 服务 需 的 IP 地 址 和 可 被 挂 载 的 目录 : 
[root@nfs-cilient ~]# showmount -a 10.0.0.14 
All mount points on 10.0.0.14: 
10.0.0.7:/data 


更 多 命令 帮助 请 执行 showmount --help 或 man showmount 


10.14 ”本 章 重点 回顾 


1) NFS 服 务 的 访问 原理 流程 (会 口述 ) 。 

2) NFS 作 为 集群 共享 存储 角色 的 搭建 、 部 署 。 

3) NFS 作 为 集群 共享 存储 角色 的 排 障 ， 高 级 优化 (会 口述 ) 。 

4) mount 命 令 的 知识 及 参数 ， 如 -0 (noatime，nodirtime，noexec，nosuid，rsize ，wsize) 等 。 
5) fstab 文 件 的 知识 。 

6) 常用 命令 showmount，exportfs ，umount (-lf) ，rpcinfo。 

7) NEFS 的 优点 、 缺 点 ， 适 合 的 应 用 场景 ， 替 代 产 品 (FastDFS、Moosefs (mfs) 、GlusterFS) 。 


8) 了 解 autofs。 


10.15 ”本章 参考 资料 


* http://nfs.sourceforge.net/nfs-howto/ 

* http://nfs.sourceforge.net/nfs-howto/ar01s02.html#whatis_nfs 
* http://ben.timby.com/p=109 

* http://www.faqs.org/rfcs/rfc1094.html 

* http://www.tldp.org/ HOWTO/NFS-HOWTO /index.html 

* http://www.citi.umich.edu/projects/nfsv4/linux/ 


* http://www.vanemery.com/Linux/NFSv4/NFSv4-no-rpcsec.html 


* http://www.ibm.com/developerworks/cn/linux/l-network-filesystems/ 


第 11 章 ”Nginx 反 向 代理 与 负载 均衡 应 用 实践 


简单 地 说 ， 集 群 就 是 指 一 组 (若干 个 ) 相互 独立 的 计算 机 ， 利 用 高 速 通信 网 络 组 成 的 一 个 较 大 的 计算 机 服务 系统 ， 每 个 集群 节点 (〈 即 集群 中 的 每 台 计算 机 ) 都 是 运行 各 自 服务 的 独立 服务 器 。 这 些 服务 
器 之 间 可 以 彼此 通信 ， 协 同 向 用 户 提供 应 用 程序 、 系 统 资源 和 数据 ， 并 以 单一 系统 的 模式 加 以 管理 。 当 用 户 客户 机 请 求 集群 系统 时 ， 集 群 给 用 户 的 感觉 就 是 一 个 单一 独立 的 服务 器 ， 而 实际 上 用 户 请 求 的 是 
一 组 集群 服务 器 。 


打开 谷歌 、 百 度 的 页 面 ， 看 起 来 好 简单 ， 也 许 你 觉得 用 几 分 钟 就 可 以 制作 出 相似 的 网 页 ， 而 实际 上 ， 这 个 页 面 的 背后 是 由 成 干 上 万 台 服 务 器 集群 协同 工作 的 结果 。 而 这 么 多 的 服务 器 维护 和 管理 ， 以 及 
相互 协调 工作 也 许 就 是 读者 你 未 来 的 工作 职责 了 。 


若 要 用 一 句 话 描述 集群 ， 即 一 堆 服务 器 合作 做 同一 件 事 ， 这 些 机 器 可 能 需要 整个 技术 团队 架构 、 设 计 和 统一 协调 管理 ， 这 些 机 器 可 以 分 布 在 一 个 机 房 ， 也 可 以 分 布 在 全 国 全 球 各 个 地 区 的 多 个 机 房 。 轿 
11-1 是 一 个 中 等 规模 网 站 集群 架构 逻辑 图 。 


第 11 章 ”Nginx 反 向 代理 与 负载 均衡 应 用 实践 


简单 地 说 ， 集 群 就 是 指 一 组 (若干 个 ) 相互 独立 的 计算 机 ， 利 用 高 速 通信 网 络 组 成 的 一 个 较 大 的 计算 机 服务 系统 ， 每 个 集群 节点 (〈 即 集群 中 的 每 台 计算 机 ) 都 是 运行 各 自 服务 的 独立 服务 器 。 这 些 服务 
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若 要 用 一 句 话 描述 集群 ， 即 一 堆 服务 器 合作 做 同一 件 事 ， 这 些 机 器 可 能 需要 整个 技术 团队 架构 、 设 计 和 统一 协调 管理 ， 这 些 机 器 可 以 分 布 在 一 个 机 房 ， 也 可 以 分 布 在 全 国 全 球 各 个 地 区 的 多 个 机 房 。 
11-1 是 一 个 中 等 规模 网 站 集群 架构 逻辑 图 。 


11.2 为 什么 要 使 用 集群 


想 了 解 为 什么 要 使 用 集群 ， 那 么 就 要 从 集群 的 特点 讲 起 。 


1. 高 性 能 (Performance) 


一 些 国家 重要 的 计算 密集 型 应 用 (如 天 气 预报 、 核 试验 模拟 等 ) ， 需 要 计算 机 有 很 强 的 运算 处 理 能 力 。 以 全 世界 现 有 的 技术 ， 即 使 是 大 型 机 ， 其 计算 能 力也 是 有 限 的， 很 难 单独 完成 此 任务 。 因 为 计算 
时 间 可 能 会 相当 长 ， 也 许 几 天 ， 甚 至 几 年 或 更 久 。 因 此 ， 对 于 这 类 复杂 的 计算 业务 ， 便 使 用 了 计算 机 集群 技术 ， 集 中 几 十 上 百 台 ， 甚 至 成 千 上 万 台 计算 机 进行 计算 。 


图 11-1 中 等 规模 网 站 集群 架构 逻辑 图 


大 家 耳熟能详 的 大 型 网 站 谷歌 、 百 度 、 淘 宝 等 ， 都 不 是 几 人 台大 型 机 可 以 构建 的 ， 都 是 上 万 台 服 务 器 组 成 的 高 性 能 集群 ， 分 布 于 不 同 的 地 点 。 图 11-2 中 是 某 大 型 计算 机 设备 的 超 强硬 件 配置 。 
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假如 你 配 一 个 LNMP 环 境 ， 每 次 只 需要 服务 10 个 并 发 请 求 ， 那 么 单 台 服务 器 一 定 会 比 多 个 


2. 价 格 有 效 性 (Cost-effectiveness) 
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图 11-2 某 大 型 计算 机 设备 的 硬件 配置 


务 器 集群 要 快 。 只 有 当 并 发 或 总 请 求 数量 超过 单 台 服务 器 的 承受 能 力 时 ， 服 务 器 集群 才 会 体现 出 优势 。 


通常 一 套 系统 集群 架构 ， 只 需要 几 人 台 或 数 十 台 服 务 器 主机 即 可 。 与 动 纯 价值 上 百 万 元 的 专用 超级 计算 机 相 比 便宜 了 很 多 。 在 达到 同样 性 能 需求 的 条 件 下 ， 采 用 计算 机 集群 架构 比 采 用 同等 运算 能 力 的 大 


型 计算 机 具有 更 高 的 性 价 比 。 


早期 的 淘宝 、 支 付 宝 的 数据 库 等 核心 系统 就 是 使 用 上 百 万 元 的 小 型 机 服务 器 。 后 因 使 用 维护 成 本 太 高 以 及 扩展 设备 费用 成 几何 级 数 翻 倍 ， 甚 至 成 为 扩展 瓶 开 ， 人 员 维 护 也 十 分 困难 ,最终 使 用 PC 服务 器 
集群 蔡 换 之 ， 比 如 ， 把 数据 库 系统 从 小 机 结合 Oracle 数 据 库 迁 移 到 MySQL 开 源 数据 库 结合 PC 服务 器 上 来 。 不 但 成 本 下 降 了 ， 扩 展 和 维护 也 更 容易 了 。 


3. 可 伸缩 性 (Scalability) 


当 服务 负载 、 压 力 增长 时 ， 针 对 集群 系统 进行 较 简单 的 扩展 即 可 满足 需求 ， 且 不 会 降低 服务 质量 。 


通常 情况 下 ， 硬 件 设 备 若 想 扩展 性 能 ， 不 得 不 增加 新 的 CPU 和 存储 器 设备 ， 如 果 加 不 上 去 了 ， 就 不 得 不 购买 更 高 性 能 的 服务 器 ， 就 拿 我 们 现 有 的 服务 器 来 讲 ， 可 以 增加 的 设备 总 是 有 限 的 。 如 果 采 用 集 
群 技术 ， 则 只 需要 将 新 的 单个 服务 器 加 入 现 有 集群 架构 中 即 可 ， 从 访问 的 客 
了 扩展 。 集 群 系统 中 的 节点 数目 可 以 增长 到 几 干 乃至 上 万 个 ， 其 伸缩 性 远 超过 单 台 超级 计算 机 。 


4 高 可 用 性 (Availability) 


是 会 发 生 故障 ， 但 整个 系统 的 服务 可 以 是 7x24 可 用 的 。 


户 角度 来 看 ， 系 统 服务 无 论 是 连续 性 还 是 性 能 上 都 几乎 没有 变化 ， 系 统 在 不 知 不 觉 中 完成 了 升级 ， 加 大 了 访问 能 力 ， 轻 松 地 实现 


单一 的 计算 机 系统 总 会 面临 设备 损毁 的 问题 ， 如 CPU、 内 存 、 主 板 、 电 源 、 硬 盘 等 ， 只 要 一 个 部 件 坏 掉 ， 这 个 计算 机 系统 就 可 能 会 宕 机 ， 无 法 正常 提供 服务 。 在 集群 系统 中 ， 尽 管 部 分 硬件 和 软件 也 还 


集群 架构 技术 可 以 使 得 系统 在 若干 硬件 设备 故障 发 生 时 仍 可 以 继续 工作 ， 这 样 就 将 系统 的 停机 时 间 减 少 到 了 最 小 。 集 群 系统 在 提高 系统 可 靠 性 的 同时 ， 也 大 大 减 小 了 系统 故障 带 来 的 业务 损失 ， 目 前 几 


乎 100% 的 互联 网 网 站 都 要 求 7x24 小 时 提供 服务 。 
5. 透 明 性 (Transparency) 


多 个 独立 计算 机 组 成 的 松 耦 合集 群 系统 构成 一 个 虚拟 服务 器 。 
务 ， 这 对 用 户 也 是 透明 的 。 


6. 可 管理 性 (Manageability) 


户 或 客 


端 程序 访问 集群 系统 时 ， 就 像 访问 一 台 高 性 能 、 高 可 


的 服务 器 一 样 ， 集 群 中 一 部 分 服务 器 的 上 线 、 下 线 不 会 中 断 整个 系统 服 


整个 系统 可 能 在 物理 上 很 大 ， 但 其 实 容易 管理 ， 就 像 管 理 一 个 单一 映像 系统 一 样 。 在 理想 状况 下 ， 软 硬件 模块 的 插入 能 做 到 即 插 即 用 (Plug&Play) 。 


7. 可 编程 性 (Programmability) 


在 集群 系统 上 ， 容 易 开 发 及 修改 各 类 应 用 程序 。 


11.3 ”集群 的 分 类 


1 .集群 的 常见 分 类 

计算 机 集群 架构 按 功 能 和 结构 可 以 分 成 以 下 几 类 : 

“ 负载 均衡 集群 (Load balancing clusters) ， 简 称 LBC 或 者 LB。 

- 高 可 用 性 集群 (High-availability (HA) clusters) ， 简 称 HAC。 

. 高 性 能 计算 集群 《High-performance (HP) clusters) ， 简 称 HPC。 

网 格 计算 (Grid computing) 集群 。 

jE 示 : 负载 均衡 集群 和 高 可 用 性 集群 是 互联 网 行业 常用 的 集群 架构 模式 ， 也 是 接 下 来 内 容 的 重点 ， 
2. 不 同 种 类 的 集群 介绍 

(1) 负载 均衡 集群 


负载 均衡 集群 为 企业 提供 了 更 为 实用 、 性 价 比 更 高 的 系统 架构 解决 方案 。 负 载 均衡 集群 可 以 把 很 多 客户 集中 的 访问 请 求 负载 压力 尽 可 能 平均 地 分 摊 在 计算 机 集群 中 处 理 。 客 户 访问 请 求 负载 通常 包括 应 
用 程序 处 理 负载 和 网 络 流量 负载 。 这 样 的 系统 非常 适合 使 用 同一 组 应 用 程序 为 大 量 用 户 提供 服务 的 模式 ， 每 个 节点 都 可 以 承担 一 定 的 访问 请 求 负载 压力 ， 并 且 可 以 实现 访问 请 求 在 各 节点 之 间 动 态 分 配 ， 以 
实现 负载 均衡 。 


负载 均衡 集群 运行 时 ， 一 般 是 通过 一 个 或 多 个 前 端 负载 均衡 器 将 客户 访问 请 求 分 发 到 后 端的 一 组 服务 器 上 ， 从 而 达到 整个 系统 的 高 性 能 和 高 可 用 性 。 一 般 高 可 用 性 集群 和 负载 均衡 集群 会 使 用 类 似 的 技 
术 ， 或 同时 具有 高 可 用 性 与 负载 均衡 的 特点 。 


负载 均衡 集群 的 作用 为 : 
: 分 担 用 户 访问 请 求 及 数据 流量 〔( 负 载 均衡 ) 。 
“ 保持 业务 连续 性 ， 即 7X24 小 时 服务 (高 可 用 性 ) 。 


“ 应 用 于 Web 业 务 及 数据 库 从 库 等 服务 器 的 业务 。 


负载 均衡 集群 典型 的 开源 软件 包括 LVS、Nginx、Haproxy 等 。 其 架构 图 如 图 11-3 所 示 。 


(2) 高 可 用 性 集群 


一 般 是 指 在 集群 中 任意 一 个 节点 失效 的 情况 下 ， 该 节点 上 的 所 有 任务 会 自动 转移 到 其 他 正常 的 节点 上 。 此 过 程 并 不 影响 整个 集群 的 运行 。 
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图 11-3 服务 器 节点 负载 均衡 图 示 


@ 所 示 : 不 同 的 业务 会 有 若干 秒 的 切换 时 间 ，DB 业 务 明显 长 于 Web 业 务 切换 时 间 ， 


当 集群 中 的 一 个 节点 系统 发 生 故 障 时 ， 运 行 着 的 集群 服务 会 迅速 做 出 反应 ， 


将 该 系统 的 服务 分 配 到 集群 中 其 他 正在 工作 的 系统 上 运行 。 考 虑 到 计算 机 硬件 和 软件 的 容错 性 ， 高 可 用 性 集群 的 主要 目的 是 


使 集群 的 整体 服务 尽 可 能 可 用 。 如 果 高 可 用 性 集群 中 的 主 节 点 发 生 了 故障 ， 那 么 这 段 时 间 内 将 由 备 节点 代替 它 。 备 节点 通常 是 主 节点 的 镜像 。 当 它 代 蔡 主 节 点 时 ， 它 可 以 完全 接管 主 节点 (包括 IP 地 址 及 其 
他 资源 ) 提供 服务 ， 因 此 ， 使 集群 系统 环境 对 于 用 户 来 说 是 一 致 的 ， 即 不 会 影响 用 户 的 访问 。 


高 可 用 性 集群 使 服务 器 系统 的 运行 速度 和 响应 速度 会 尽 可 能 的 快 。 它 们 经 常 


利用 在 多 台 机 器 上 运行 的 匈 余 节 点 和 服务 来 相互 跟踪 。 如 果 某 个 节点 失败 ， 它 的 替补 者 将 在 几 秒 钟 或 更 短 时 间 内 接管 它 的 职 


责 。 因 此 ， 对 于 用 户 而 言 ， 集 群 里 的 任意 一 台 机 器 宕 机 ， 业 务 都 不 会 受 影 响 (理论 情况 下 ) 。 


高 可 用 性 集群 的 作用 为 : 


“ 当 一 台 机 器 宕 机 时 ， 另 外 一 台 机 器 接管 宕 机 的 机 器 的 IP 资 源 和 服务 资源 ， 提 供 服务 。 


“ 常用 于 不 易 实 现 负载 均衡 的 应 用 ， 比 如 负载 均衡 器 ， 主 数据 库 、 主 存储 对 之 间 。 


高 可 用 性 集群 常用 的 开源 软件 包括 Keepalived、Heartbeat 等 ， 其 架构 图 如 


图 11-4 所 示 。 


(3) 高 性 能 计算 集群 


高 性 能 计算 集群 也 称 并 行 计算 。 通 常 ， 高 性 能 计算 集群 涉及 为 集群 开发 的 并 行 应 用 程序 ， 以 解决 复杂 的 科学 问题 (天 气 预报 、 石 油 勘探 、 核 反应 模拟 等 ) 。 高 性 能 计算 集群 对 外 就 好 像 一 个 超级 计算 
机 ， 这 种 超级 计算 机 内 部 由 数 十 至 上 万 个 独立 服务 器 组 成 ， 并 且 在 公共 消息 传递 层 上 进行 通信 以 运行 并 行 应 用 程序 。 在 老 男 孩 的 工作 中 实际 是 把 任务 切 成 蛋糕 ， 然 后 下 发 到 集群 节点 计算 ， 计 算 后 返回 结 


果 ， 然 后 继续 领 新 任务 计算 ， 如 此 往复 。 


Eo | 


(4) 网 格 计算 集群 


由 于 很 少 用 到 ， 在 此 从 略 。 
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负载 均 征集 群 


图 11-4 服务 器 负载 均衡 器 高 可 用 图 示 


人 @ 人 | 提示 : 在 互联 网 网 站 运 维 中 ， 比 较 常用 的 是 负载 均衡 集群 和 高 可 用 性 集群 


11.4 ”常用 的 集群 软 硬 件 介绍 及 选 型 


1. 企 业 运 维 中 常见 的 集群 软 硬 件 产品 


互联 网 企业 


缴 


互联 网 企业 


的 开源 集群 软件 有 : Nginx、LVS、Haproxy、Keepalived、Heartbeat。 


丝 


的 商业 集群 硬件 有 : F5、Netscaler、Radware、A10 等 ， 工 作 模式 相当 于 Haproxy 的 工作 模式 。 


淘宝 、 赶 集 网 、 新 浪 等 公司 曾 使 用 过 Netscaler 负 载 均衡 产品 。 集 群 硬件 Netscaler 的 产品 


如 


11-5 所 示 ， 相 关 指 标 请 大 家 自行 查询 相关 资料 。 


[ 
[ 


集群 硬件 F5 产 品 图 如 图 11-6 所 可 


2. 对 于 集群 软 硬 件 产品 如 何 选 型 


下 面 是 老 男孩 的 基本 选择 建议 ， 


*， 相 关 指标 请 大 家 自 查 相关 资料 。 


更 多 的 建议 等 大 家 读 完 负载 均衡 内 容 后 再 细 分 讲解 。 


图 11-5 Netscalet 负 载 均衡 产品 


图 11-6 F5 负 载 均衡 产品 图 


“ 当 企 业 业 务 重要 ， 技 术 力 量 又 薄弱 ， 并 且 希 望 出 钱 购买 产品 及 获取 更 好 的 服务 时 ， 可 以 选择 硬件 负载 均衡 产品 ， 如 F5、Netscaler、Radware 等 ， 此 类 公司 多 为 传统 的 大 型 非 互联 网 企业 ， 如 银行 、 证 


券 、 金 融 业 及 宝马 、 奔 驰 公司 等 。 


“ 对 于 门户 网 站 来 说 ， 大 多 会 并 用 软件 及 硬件 产品 来 分 担 单一 产品 的 风险 ， 如 淘宝 、 腾 讯 、 新 浪 等 。 融 资 了 的 企业 会 购买 硬件 产品 ， 如 赶集 等 网 站 。 


: 中 小 型 互联 网 企业 ， 由 于 起 步 阶段 无 利润 可 赚 或 者 利润 很 低 ， 会 希望 通过 使 用 开源 免费 的 方案 来 解决 问题 ， 因 此 会 雇佣 专门 的 运 维 人 员 进行 维 护 。 例 如 : 51CTO 等 。 


相 比 较 而 言 ， 商 业 的 负载 均衡 产品 成 本 高 ， 性 能 好 ， 更 稳定 ， 缺 点 是 不 能 二 次 开发 ， 开 源 的 负载 均衡 软件 对 运 维 人 员 的 能 力 要 求 较 高 ， 如 果 运 维 及 开发 能 力 强 ， 那 么 开源 的 负载 均衡 软件 是 不 错 的 选 


择 ， 目 前 的 互联 网 行业 更 倾向 于 使 


开源 的 负载 均衡 软件 。 


3. 如 何 选择 开源 集群 软件 产品 


中 小 企业 互联 网 公司 网 站 在 并 发 访问 和 总 访问 量 不 是 很 大 的 情况 下 ， 建 议 首选 Nginx 负 载 均衡 ， 理 由 是 Nginx 负 载 均衡 配置 简单 、 使 用 方便 、 安 全 稳定 、 社 区 活跃 ， 使 用 的 人 逐渐 增多 ， 成 为 流行 趋势 ， 


另外 一 个 实现 负载 均衡 的 类 似 产品 为 Haproxy (支持 H4 和 L7 负 载 ， 同 样 优秀 ， 但 社区 不 如 Nginx 活 跃 ) 。 


如 果 要 考虑 Nginx 负 载 均衡 的 高 
学 者 使 用 ) 。 


可 用 功能 ， 建 议 首选 Keepalived 软 件 ， 理 由 是 安装 和 配置 简单 ， 使 用 方便 ， 安 全 稳定 ， 与 Keepalived 服 务 类 似 的 高 可 用 软件 还 有 Heartbeat (使 用 比较 复杂 ， 不 建议 初 


如 果 是 大 型 企业 互联 网 公司 ， 负 载 均衡 产品 可 以 使 用 LVS+Keepalived 在 前 端 做 四 层 转发 (一 般 是 主 备 或 主 主 ， 如 果 需 要 扩展 可 以 使 用 DNS 或 前 端 使 用 OSPF) ， 后 端 使 用 Nginx 或 者 Haproxy 做 7 层 转发 


(可 以 扩展 到 百 台 ) ， 再 后 面 是 应 


服务 器 ， 如 果 是 数据 库 与 存储 的 负载 均衡 和 高 可 用 ， 建 议 选 择 LVS+Heartbeat，LVS 支 持 TCP 转 发 县 DR 模式 效率 很 高 ，Heartbeat 可 以 配合 drbd， 不 但 可 以 进行 VIP 的 


切换 ， 还 可 以 支持 块 设备 级 别 的 数据 同步 (drbd) ， 以 及 资源 服务 的 管理 。 


11.5 ”Nginx 负 载 均衡 集群 介绍 


11.5.1 “搭建 负载 均衡 服务 的 需 : 


负载 均衡 (Load Balance) 集群 提供 了 一 种 廉价 、 有 效 、 透 明 的 方法 ， 来 扩展 网 络 设备 和 服务 器 的 负载 、 带 宽 和 吞吐 量 ， 同 时 加 强 了 网 络 数据 处 理 能 力 ， 提 高 了 网 络 的 灵活 性 和 可 用 性 。 


搭建 负载 均衡 服务 的 需求 如 下 : 


1) 把 单 台 计 算 机 无 法 承受 的 大 规模 并 发 访问 或 数据 流量 分 担 到 多 台 节 点 设备 上 ， 分 别 进行 处 理 ， 减 少 用 户 等 待 响应 的 时 间 ， 提 升 用 户 体验 。 


2) 单个 重负 载 的 运算 分 担 到 多 台 节 点 设备 上 做 并 行 处 理 ， 每 个 节点 设备 处 理 结束 后 ， 将 结果 汇总 ， 返 回 给 用 户 ， 系 统 处 理 能 力 得 到 大 幅度 提高 。 


3) 7x24 小 时 的 服务 保证 ， 任 意 一 个 或 多 个 有 限 后 面 节点 设备 宕 机 ， 不 能 影响 业务 。 


在 负载 均衡 集群 中 ， 同 组 集群 的 所 有 计算 机 节点 都 应 该 提供 相同 的 服务 。 集 群 负载 均衡 器 会 截获 所 有 对 该 服务 的 入 站 请 求 。 然 后 将 这 些 请 求 尽 可 能 地 平均 地 分 配 在 所 有 集群 节点 上 。 


11.6 ”快速 实践 Nginx 负 载 均衡 环境 准备 


本 节 先 带 大 家 一 起 操作 实战 ， 让 大 家 对 Nginx 负 载 均衡 有 一 个 初步 的 概念 ， 然 后 再 继续 深入 讲解 Nginx 负 载 均衡 的 核心 知识 应 用 。 


Neinx 
负载 坝 街 


图 11-7 快速 实践 Nginx 负 载 均衡 的 逻辑 架构 图 


网 


司 11-7 是 快速 实践 Nginx 负 载 均衡 的 逻辑 架构 图 。 


在 图 11-7 中 ， 所 有 用 户 的 请 求 统一 发 送 到 Nginx 负 载 均 衡器 ， 然 后 由 负载 均衡 器 根据 调度 算法 来 请 求 web01 和 web02。 


11.7 ”Nginx 负 载 均衡 核心 组 件 介绍 


11.7.1 _ Nginx upstream 模 块 


1.upstream 模 块 介绍 


Nginx 的 负载 均衡 功能 依赖 于 ngx_http_upstream_module 模 块 ， 所 支持 的 代理 方式 包括 proxy_pass、fastcgi_pass、memcached_pass 等 ， 新 版 Nginx 软 件 支 持 的 方式 所 有 增加 。 本 文 主要 讲解 
proxy_pass 代 理 方式 。 


ngx_http_upstream_module 模 块 允许 Nginx 定 义 一 组 或 多 组 节点 服务 器 组 ， 使 用 时 可 以 通过 proxy_pass 代 理 方式 把 网 站 的 请 求 发 送 到 事先 定义 好 的 对 应 Upstream 组 的 名 字 上 ， 具 体 写法 


为 “proxy_pass http://www_server_pools”， 其 中 www_server_pools 就 是 一 个 Upstream 节 点 服务 器 组 名 字 。ngx_http_upstream_module 模 块 官方 地 址 


为 : http://nginx.org/en/docs/http/ngx_http_upstream_module.html 


2.upstream 模 块 语法 


upstream 模 块 的 语法 相当 简单 ， 这 里 直接 上 范例 给 大 家 讲解 。 


范例 1: 基本 的 upstream 配 置 案例 


#blog lb by oldboy at 201303 server pools 
Upstream www server pools { 
#<== upstream 是 关键 字 必 须要 有 ， 后 面 的 www_server pools 为 一 个 Upstream 集 群 组 的 名 字 ， 可 以 自己 起 名 ,调用 时 就 用 这 个 名 字 
server 10.0.0.17: 80 weight=5; 
#<==server 关 键 字 是 固定 的 ， 后 面 可 以 接 域名 (门户 会 用 ) 或 TP。 如 果 不 指定 端口 ， 默 认 是 80 端 口 。weight 代 表 权 重 ， 数 值 越 大 被 分 配 的 请 求 越 多 ， 结 尾 有 分 号 ， 别 忘 了 
server 10.0.0.18: 80 weight=10; 
server 10.0.0.19: 82 weight=15; 


} 


范例 2: 较 完整 的 upstream 配 置 案例 


upstream blog server pool { 
server 10.0.10.5; #< 一 这 一 行 标签 和 下 一 行 是 等 价 的 
server 10.0.10.6: 80 weight=1 max fails=1 fail timeout=10s; #< 一 这 一 行 标签 和 上 一 行 是 等 价 的 ， 此 行 多 余 的 部 分 就 是 默认 配置 ， 不 写 也 可 以 
#the server config above is the same. 
server 10.0.10.7: 80 weight=1 max fails=2 fail timeout=20s backup; 
#<==server 最 后 面 可 以 加 很 多 参数 ， 具 体 参 数 作 用 看 下 文 表格 
server 10.0.10.8: 80 weight=1 max fails=2 fail timeout=20s backup; 
} 


范例 3: 使 用 域名 及 socket 的 upstream 配 置 案例 


upstream backend { 
server backendl .example.com weight=5; 
server backend2 .example.com: 8080; #<== 域 名 加 端口 。 转 发 到 后 端的 指定 端口 上 
server unix: /tmp/backend3; #<== 指 定 socket 文 件 


@ia: server 后 面 如 果 接 域名 ， 需 要 内 网 有 DNS 服务 器 或 者 在 负载 均衡 器 的 hosts 文 件 做 域名 解析 。 


server 192.168.1.2 

server 192.168.1.3: 8080 
server backupl. example. com: 8080 backup; 

#<== 备 份 服务 器 ， 等 上 面 指 定 的 服务 器 都 不 可 访问 的 时 候 全 启用 ， backup 的 用 法 和 Haproxy 中 用 法 一 样 
server backup2.example.com: 8080 backup; 

} 


如 果 是 两 台 Web 服 务 器 做 高 可 用 ， 常 规 方案 就 需要 Keepalived 配 合 ， 那 么 这 里 使 用 Nginx 的 backup 参 数 通 过 负载 均衡 功能 就 可 以 实现 Web 服 务 器 集群 了 ， 对 于 企业 应 用 来 说 ， 能 做 集群 就 不 做 高 可 


3.upstream 模 块 相关 说 明 


upstream 模 块 的 内 容 应 放 于 nginx.conf 配 置 的 http{} 标 签 内 ， 其 默认 调度 节点 算法 是 wrr (weighted round-robin， 即 权重 轮 询 ) 。 表 11-4 为 upstream 模 块 内 部 server 标 签 部 分 参数 说 明 。 


表 11-4 ” upstream 模块 内 部 servetr 标 签 参 数 说 明 


upstream 模块 内 参数 参数 说 明 
负载 均衡 后 面 的 RS 配置 ， 可 以 是 卫 或 域名 ， 如 果 端 口 不 写 ， 默 认 是 80 端口 。 高 
并 发 场景 下 ，IP 可 换 成 域名 ， 通 过 DNS 做 负载 均衡 
weight=1 代表 服务 器 的 权重 ， 默 认 值 是 1。 权 重 数 字 越 大 表示 接受 的 请 求 比例 越 大 
Nginx 尝试 连接 后 端 主 机 失败 的 次 数 ， 这 个 数值 是 配合 proxy_next_upstream.、 


ls 


server 10.0.10.8:80 


fastcgi next_ upstream 和 memcached next_ upstream 这 三 个 参数 来 使 用 的 ， Nip 

max fails=1 接收 后 端 服务 需 返 回 这 三 个 参数 定义 的 状态 码 时 ， 会 将 这 个 请 求 转 发 给 正常 工作 的 
后 端 服务 器 ， 例 如 404、502、503。Max_fails 的 默认 值 是 1 ; 企业 场景 下 建议 2 ~3 
次 。 如 京东 1 次 ， 蓝 汛 10 次 ， 根 据 业 务 需 求 去 配置 

热 备 配置 (RS 节点 的 高 可 用 )， 当 前 面 激活 的 RS 都 失败 后 会 自动 启用 热 备 RS。 这 
标志 着 这 个 服务 器 作为 备份 服务 器 ， 着 主 服务 器 全 部 宕 机 了 ， 就 会 向 它 转发 请 求 ; 
注意 ， 当 负载 调度 算法 为 ip_hash 时 ， 后 端 服务 需 在 负载 均衡 调度 中 的 状态 不 能 是 
weight 和 backup 

在 max_fails 定义 的 失败 次 数 后 ， 距 离 
max_fails 是 5， 它 就 检测 5 次 ， 5 
fail timeout=10s 的 值 ， 等 待 10s 再 去 检查 ， 人 


backup 


次 检查 的 间 阳 时间， 默认 是 10s ; 如 果 
4 502。 那 么 ， 它 ye 所 fail timeonut 


;下 消 
欠 都 是 
-次 ， 如 果 持 续 502， 在 不 重新 加 载 Nginx 配 


置 的 情况 下 ， 每 阳 10s 都 只 检测 : 常规 业务 2 ~ 3 秒 ! 蕊 较 合 理 ， 比 如 京东 3 秒 ， 
和 3 秒 ， 根据 业务 需 配置， 
down 这 标志 着 服务 器 永远 不 可 用 ， 这 个 参数 可 配合 ip_hash 使 用 


@isA ; 以 上 的 参数 与 专业 的 Haproxy 参 数 很 类 似 ， 但 不 如 Haproxy 的 参数 易 懂 。 


来 看 个 示例 ， 如 下 : 


upstream backend { 
server backend1 .example.com weight=5; <== 如 果 就 是 单个 Server， 没 必要 设置 权重 
server 127.0.0.1: 8080 max fails=5 fail timeout=10s; 
<== 当 检测 次 数 等 于 5 的 时 候 ，5 次 连续 检测 失败 后 ， 间 隔 10s 再 重新 检测 ， 这 个 参数 和 proxy/fasrcgi/memcached_next_upstream 相 关 ; 
server unix: /tmp/backend3; 
server backupl.example.com: 8080 backup; <== 热 备 机 器 设置 
} 


需要 特别 说 明 的 是 ， 如 果 是 Nginx 代 理 Cache 服 务 ， 可 能 需要 使 用 hash 算 法 ， 此 时 若 宕 机 ， 可 通过 设置 down 参 数 确保 客户 端 用 户 按照 当前 的 hash 算 法 访问 ， 这 一 点 很 重要 。 示 例 配置 如 下 : 


upstream backend { 
ip_hash; 
server backend] .example.com; 
server backend2 .example.com; 
server backend3.example.com down; 
server backend4.example.com; 


下 面 是 Haproxy 负 载 均 衡器 server 标 签 的 配置 示例 。 


# 开启 对 后 端 服务 器 的 健康 检测 ， 通 过 GET /test/index.php 来 判断 后 端 服务 器 的 健康 情况 
server php_ server 1 10.12.25.68: 80 cookie 1 check inter 2000 rise 3 fall 3 weight 2 
server php server 2 10.12.25.72: 80 cookie 2 check inter 2000 rise 3 fall 3 weight 1 
server php_server bak 10.12.25.79: 80 cookie 3 check inter 1500 rise 3 fall 3 backup 


上 述 命令 的 说 明 如 下 : 

* weight: 调节 服务 器 的 请 求 分 配 权 重 。 

“ check: 开启 对 该 服务 器 健康 检查 。 

' inter: 设置 连续 两 次 的 健康 检查 间隔 时 间 ， 单 位 毫秒 ， 默 认 值 2000。 

' fise: 指定 多 少 次 连续 成 功 的 健康 检查 后 ， 即 可 认定 该 服务 器 处 于 可 用 状态 。 

“ fall: 指定 多 少 次 不 成 功 的 健康 检查 后 ， 即 认为 服务 器 为 宕 机 状态 ， 默 认 值 3。 

“ maxconn: 指定 可 被 发 送 到 该 服务 器 的 最 大 并 发 连接 数 。 
更 多 的 Nginx upstream 模 块 参数 请 参考 : http://nginx.org/en/docs/http/ngx_http_ups-tream_module.html。 


4.upstream 模 块 调度 算法 


调度 算法 一 般 分 为 两 类 ， 第 一 类 为 静态 调度 算法 ， 即 负载 均衡 器 根据 自身 设 定 的 规则 进行 分 配 ， 不 需要 考虑 后 端 节点 服务 器 的 情况 ， 例 如 : rr、wrr、ip_hash 等 都 属于 静态 调度 算法 。 


第 二 类 为 动态 调度 算法 ， 即 负载 均衡 器 会 根据 后 端 节点 的 当前 状态 来 决定 是 否 分 发 请 求 ， 例 如 : 连接 数 少 的 优先 获得 请 求 ， 响 应 时 间 短 的 优先 获得 请 求 。 例 如 : least conn、fair 等 都 属于 动态 调度 算 


下 面 介 绍 一 下 常见 的 调度 算法 。 


(1) rr 轮 询 (默认 调度 算法 ， 静 态 调度 算法 ) 


按 客 户 端 请 求 顺序 把 客户 端的 请 求 逐 一 分 配 到 不 同 的 后 端 节点 服务 器 ， 这 相当 于 LVS 中 的 rr 算法 ， 如 果 后 端 节点 服务 器 宕 机 (默认 情况 下 Nginx 只 检测 80 端 口 ) ， 宕 机 的 服务 器 会 被 自动 从 节点 服务 器 池 
中 剔除 ， 以 使 客户 端的 用 户 访问 不 受 影 响 。 新 的 请 求 会 分 配给 正常 的 服务 器 。 


(2) wrr (权重 轮 询 ， 静 态 调度 算法 ) 


在 rr 轮 询 算法 的 基础 上 加 上 权重 ， 即 为 权重 轮 询 算法 ， 当 使 用 该 算法 时 ， 权 重 和 用 户 访问 成 正比 ， 权 重 值 越 大 ， 被 转发 的 请 求 也 就 越 多 。 可 以 根据 服务 器 的 配置 和 性 能 指定 权重 值 大 小 ， 有 效 解决 新 日 
服务 器 性 能 不 均 带 来 的 请 求 分 配 问 题 。 


举 个 例子 帮助 大 家 加 深 理 解 。 
后 端 服务 器 192.168.1.2 的 配置 为 : E5520*2 CPU，8GB 内 存 。 


后 端 服务 器 192.168.1.3 的 配置 为 : Xeon (TM) 2.80GHz*2，4GB 内 存 。 


假设 希望 在 有 30 个 请 求 到 达 前 端 时 ， 其 中 20 个 请 求 交 给 192.168.1.3 处 理 ， 剩 余 10 个 请 求 交 给 192.168.1.2 处 理 ， 就 可 做 如 下 配置 ; 


upstream oldboy lb { 
server 192.168.1.2 weight=1; 
server 192.168.1.3 weight=2; } 


权重 测试 的 例子 见 前 文 快速 实现 一 个 简单 的 负载 均衡 内 容 部 分 。 


(3) ip_hash (静态 调度 算法 ) 


每 个 请 求 按 客户 端 |P 的 hash 结 果 分 配 ， 当 新 的 请 求 到 达 时 ， 先 将 其 客户 端 |P 通 过 哈 希 算法 哈 希 出 一 个 值 ， 在 随后 的 客户 端 请 求 中 ， 客 户 IP 的 哈 希 值 只 要 相同 ， 就 会 被 分 配 至 同一 台 服 务 器 ， 该 调度 算法 
可 以 解决 动态 网 页 的 session 共 享 问题 ， 但 有 时 会 导致 请 求 分 配 不 均 ， 即 无 法 保证 1: 1 的 负载 均衡 ， 因 为 在 国内 大 多 数 公司 都 是 NAT 上 网 模式 ， 多 个 客户 端 会 对 应 一 个 外 部 I|P， 所 以 ， 这 些 客户 端 都 会 被 分 配 


到 同一 节点 服务 器 ， 从 而 导致 请 求 分 配 不 均 。LVS 负 载 均衡 的 -p 参 数 、Keepalived 配 置 里 的 persistence_ timeout 50 参 数 都 类 似 这 个 Nginx 里 的 ip_hash 参 数 ， 其 功能 都 可 以 解决 动态 网 页 的 Session 共享 问 
题 。 


同样 也 来 看 一 个 示例 ， 如 下 : 


upstream oldboy lb { 
ip_hash; a 

server 192.168.1.2: 80; 
server 192.168.1.3: 8080; 


upstream backend { 
ip_hash; 
server backend1 .example.com; 
server backend2 .example.com; 
server backend3.example.com down; 
server backend4.example.com; 


注意 : 当 负 载 调度 算法 为 ijp_hash 时 ， 后 端 服务 器 在 负载 均衡 调度 中 的 状态 不 能 有 weight 和 backup， 即 使 有 也 不 会 生效 。 


(4) fair (动态 调度 算法 ) 


此 算法 会 根据 后 端 节点 服务 器 的 响应 时 间 来 分 配 请 求 ， 响 应 时 间 短 的 优先 分 配 。 这 是 更 加 智能 的 调度 算法 。 此 种 算法 可 以 依据 页 面 大 小 和 加 载 时 间 长 短 智 能 地 进行 负载 均衡 ， 也 就 是 根据 后 端 服务 器 的 
响应 时 间 来 分 配 请 求 ， 响 应 时 间 短 的 优先 分 配 。Nginx 本 身 不 支持 fair 调 度 算法 ， 如 果 需 要 使 用 这 种 调度 算法 ， 必 须 下载 Nginx 的 相关 模块 upstream_fair。 


示例 如 下 : 


upstream oldboy lb { 
server 192.168.I.2; 
server 192.168.1.3; 
fair; 


} 


(5) least_conn 


least_conn 算 法 会 根据 后 端 节点 的 连接 数 来 决定 分 配 情况 ， 哪 个 机 器 连接 数 少 就 分 发 。 
除了 上 面 介绍 的 这 些 算 法 外 ， 还 有 一 些 第 三 方 调度 算法 ， 例 如 : url_hash、 一 致 性 hash 算 法 等 ， 介 绍 如 下 。 
(6) url_hash 算 法 


与 ip_hash 类 似 ， 这 里 是 根据 访问 URL 的 hash 结 果 来 分 配 请 求 的 ， 让 每 个 URL 定 向 到 同一 个 后 端 服务 器 ， 后 端 服务 器 为 缓存 服务 器 时 效果 显著 。 在 upstream 中 加 入 hash 语 句 ，server 语 句 中 不 能 写 入 
weight 等 其 他 的 参数 ，hash_method 使 用 的 是 hash 算 法 。 


url_hash 按 访问 URL 的 hash 结 果 来 分 配 请 求 ， 使 每 个 URL 定 向 到 同一 个 后 端 服 务 器 ， 可 以 进一步 提高 后 端 缓存 服务 器 的 效率 命中 率 。Nginx 本 身 是 不 支持 url_hash 的 ， 如 果 需 要 使 用 这 种 调度 算法 ， 必 
须 安装 Nginx 的 hash 模 块 软件 包 。 


urL_hash (web 缓 存 节点 ) 和 ip_hash (会 话 保持 ) 类 似 。 示 例 配置 如 下 : 


upstream oldboy lb { 
server squid1: 3128; 
server squidq2: 3128; 
hash $request uri; 
hash method crc32; 

} 


(7) 一 致 性 hash 算 法 


一 致 性 hash 算 法 一 般 用 于 代理 后 端 业务 为 缓存 服务 (如 Squid、Memcached) 的 场景 ， 通 过 将 用 户 请 求 的 URI 或 者 指定 字符 串 进 行 计算 ,然后 调度 到 后 端的 服务 器 上 ， 此 后 任何 用 户 查找 同一 个 UR 或 
者 指定 字符 串 都 会 被 调度 到 这 一 台 服 务 器 上 ， 因 此 后 端的 每 个 节点 缓存 的 内 容 都 是 不 同 的 ， 一 致 性 hash 算 法 可 以 解决 后 端 某 个 或 几 个 节点 宕 机 后 ， 缓 存 的 数据 动荡 最 小 ， 一 致 性 hash 算 法 知识 比较 复杂 ， 详 
细 内 容 可 以 参考 后 文 或 相关 资料 ， 这 里 仅仅 给 出 配置 示例 : 


http { 
upstream test { 
consistent hash $request uri; 
server 127.0.0.1: 9001 idq=1001 weight=3; 
server 127.0.0.1: 9002 idq=1002 weight=10; 
server 127.0.0.1: 9003 idq=1003 weight=20; 
} 


虽然 Nginx 本 身 不 支持 一 致 性 hash 算 法 ,但 Nginx 的 分 支 Tengine 支 持 。 详 细 可 见 http://tengine.taobao.org/document_cn/http_upstream_consistent_hash_cn.html 


11.8 Nginx 负 载 均 衡 配置 实战 


11.8.1 配置 基于 域名 虚拟 主机 的 Web 节 点 


注意 ， 本 小 节 将 在 表 11-6 所 示 的 Nginx Web 服 务 器 节点 上 操作 。 


表 11-6 Nginx Web 服 务 器 节点 信息 
主机 名 IP 地 址 角色 说 明 
web01 10.0.0.9 nginx web01 服务 器 
web02 10.0.0.10 nginx Web02 服务 央 


以 下 操作 以 web01 10.0.0.9 为 例 讲解 ，web02 10.0.0.10 做 同样 的 操作 ， 其 中 Nginx 的 安装 过 程 省 略 了 ， 有 需要 的 读者 可 以 参考 前 文 。 


1) Nginx 的 配置 文件 如 下 : 


[root@web01 ~]# cat /application/nginx/conf/nginx.conf 
worker processes 
events { 

worker connections 1024; 


} 

http { 
include mime.types; 
default type application/octet-stream; 
sendfile on; 


keepalive timeout 65; 
log format main 'S$remote addr - $remote user [$time local] "$request"™" ' 
'$status $body bytes sent "$http referer" ' 
'"$http user agent" "$http x forwarded for"'; 
server { 2 站 本 加 
listen 80; 
server name bbs.etiantian.org; 
location / { 
root html/bbs; 
index index.html index.htm; 


access log logs/access bbs.1log main; 
} 
server { 
listen Bn: 
server name www.etiantian.org; 
location / { 
root html/www; 
index jindex.html]l index.htm; 
} 


access log logs/access www.1l0og main; 


@isa: 上 面 配置 了 bbs.etiantian.org 和 www.etiantian.org 两 个 虚拟 主机 。 


2) 创建 站 点 目录 及 对 应 测试 文件 ， 命 令 如 下 : 


[root@web01 html]# for n in bbs www; do cd /application/nginx/html/; mkdir -P $n; echo "$n.etiantian.org9" >$n/index.html; done 
[root@web01 html]# cat bbs/index.html 

bbs.etiantian.org9 

[root@web01 html]# cat www/index.html 

www.etiantian.org9 


全 提示 : 结尾 加 个 数字 9 来 区 分 对 应 的 Web 节 点 机 器 。 


3) 检查 语法 并 重启 Nginx 服 务 ， 命 令 如 下 : 


[root@web01 html]# /application/nginx/sbin/nginx -t 

nginx: the configuration file /application/nginx-1.6.3/conf/nginx.conf syntax is ok 
nginx: configuration file /application/nginx-1.6.3/conf/nginx.conf test is successful 
[root@web01 html]# /application/nginx/sbin/nginx -s reload 

[root@web0l1 html]# netstat -lntuplgrep 80 

tcp 0 0 0.0.0.0: 80 03 <* LISTEN 4998/nginx 


4) 把 域名 加 入 hosts 解 析 ， 本 机 进行 访问 测试 。 


# 提 示 : 这 里 的 9 为 TP 地 址 ， 简 写 。 

[root@web01 html]# echo "10.0.0.9 www.etiantian.org" >>/etc/hosts 
[root@web01 html]# echo "10.0.0.9 bbs.etiantian.org" >>/etc/hosts 
[root@web01 html]# tail -2 /etc/hosts 

10.0.0.9 www.etiantian.org 

10.0.0.9 bbs.etiantian.org 


5) 检查 虚拟 主机 配置 结果 。 


10.0.0.9 web01 上 的 测试 检查 结果 如 下 : 


[rootQ@web01 html]# curl www.etiantian.org 
www.etiantian.org9 
[rootQ@web01 html]# curl bbs.etiantian.org 
bbs.etiantian.org9 


10.0.0.10 web02 上 的 测试 检查 结果 如 下 : 


[root@web02 ~]# curl bbs.etiantian.org 
bbs.etiantian.org10 
[root@web02 ~]# curl www.etiantian.org 
www.etiantian.orgl0 


到 此 ， 搭 建 配置 虚拟 主机 就 成 功 了 。 


@ 所 示 : 以 上 web01、web02 的 虚拟 主机 配置 仅仅 作为 负载 均衡 的 节点 使 用 ， 因 此 ， 简 单 拱 建 能 访问 出 结果 即 可 。 


11.9 Nginx 负 载 均 衡 监测 节点 状态 


淘宝 技术 团队 开发 了 一 个 Tengine (Nginx 的 分 支 ) 模块 nginx_upstream_check_module， 用 于 提供 主动 式 后 端 服务 器 健康 检查 。 通 过 它 可 以 检测 后 端 realserver 的 健康 状态 ， 如 果 后 端 realserver 不 可 
， 则 所 有 的 请 求 就 不 会 转发 到 该 节点 上 。 


Tengine 原 生 支持 这 个 模块 ， 而 Nginx 则 需要 通过 打 补 本 的 方式 将 该 模块 添加 到 Nginx 中 。 补 丁 下 载 地 址 : https://github.com/yaoweibin/nginx_upstream_check_module。 下 面 介绍 如 何 使 用 这 个 
模块 。 


1) 安装 nginx_upstream_check_module 模 块 。 


# 系统 已 经 安装 了 nginx-1.6.3 软 件 

root@1lb01 ~]# /application/nginx/sbin/nginx -V 

nginx Version: nginx/1.6.3 

Toote@lb01 ~]# cd /home/oldboy/tools/ 

# 下 载 补丁 包 

root@1lb01 tools]# wget https: // codeload.github.com/yaoweibin/nginx upstream check module/zip/master 

root@1b01 tools]# unzip master 

# 因为 是 对 源 程序 打 补 丁 ， 所 以 还 需要 Nginx 软 件 包 

root@1b01 tools]# cd nginx-1.6.3 

roote@l1b01 nginx-1.6.3]# patch -pl < http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../nginx upstream check module-mast 
# 编译 参数 要 和 以 前 一 致 ， 最 后 加 上 --add-module=http://www.hzcourse. com/resource/readBook?path= /openresources/teach ebook/uncompressed/15611/0EBPS/Text/../nginx_ upstream check module- 
root@1b01 nginx-1.6.3]# ./configure --prefix=/application/nginx-1.6.3 --user=nginx --group=nginx --with-http ssl module --with-http stub status module --add-module=http://www. 
root@1b01 nginx-1.6.3]# make 

# 如 果 是 新 装 的 Nginx 则 继续 执行 下 面 make instal1 一 步 ， 如 果 给 已 经 安装 的 nginx 系 统 打 监控 补丁 就 不 用 执行 make install 了 ， 本 文 忽略 执行 make install。 

# make 的 作用 就 是 重新 生成 Nginx 二 进 制 启动 命令 而 已 。 

# 操作 前 备份 
root@lb01 nginx-1.6.3]# mv a .ori} 
# 将 打 过 补丁 的 Nginx 二 进 制程 序 复制 到 /application/nginx/sbin/ 目 录 下 
Toote@lb01 nginx-1.6.3]# cp ./objs/nginx /application/nginx/sbin/ 
# 检查 是 否 正常 
root@lb01 nginx-1.6.3]# /application/nginx/sbin/nginx -t 

nginx: the configuration file /application/nginx-1.6.3/conf/nginx.conf syntax is ok 

nginx: configuration file /application/nginx-1.6.3/conf/nginx.conf test is successful 

root@1lb01 nginx-1.6.3]# /application/nginx/sbin/nginx -V 

nginx version: nginx/1.6.3 

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-11) (GCC) 

TLS SNI support enabled 

configure arguments: --prefix=/application/nginx-1.6.3 --user=nginx --group=nginx --with-http _ ssl module --with-http_ stub status module --add-module=http://www.hzcourse.com/re 


2) 配置 Nginx 健 康 检查 ， 如 下 : 


[root@1b01 nginx-1.6.3]# vi /application/nginx/conf/nginx.conf 
worker processes 1; 
events { 


worker connections 1024; 


} 

http { 
include mime .types; 
default type application/octet-stream; 
sendfile on; 


keepalive timeout 65; 
upstream static pools { 
server 10.0.0.9: 80 weight=1; 
server 10.0.0.10: 80 weight=1; 
check interval=3000 rise=2 fall=5 timeout=1000 type=http; 
} 
upstream default pools { 
server 10.0.0.11: 80 weight=1; 
} 
server { 
listen 80; 
Sserver name www.etiantian.org; 
location / { 
root html; 
index index.html index.htm; 
proxy pass http: // default pools; 
include proxy.conf; 


} 

location ~ .*. (gif|jpgljpeglpng|lbmp|swflcss|js) $ { 
proxy pass http: // static pools; 
include proxy.conf; 


location /status { 
check statusy) 
access_1og off; 


} 
} 
[root@1b01 nginx-1.6.3]# /application/nginx/sbin/nginx -s stop 
[rootelb01 nginx-1.6.3]# /application/nginx/sbin/nginx 
# 注 意 此 处 必须 重启 Nginx， 不 能 重新 加 载 。 
# check interval=3000 rise=2 fall=5 timeout=1000 type=http; 


上 面 配置 的 意思 是 ， 对 static_pools 这 个 负载 均衡 条 目 中 的 所 有 节点 ， 每 隔 3 秒 检测 一 次 ， 请 求 2 次 正常 则 标记 realserver 状 态 为 up， 如 果 检 测 5 次 都 失败 ， 则 标记 realserver 的 状态 为 down， 超 时 时 间 为 
1 秒 ， 检 查 的 协议 是 HTTP。 


详细 用 法 见 官网 http://tengine.taobao.org/document_cn/http_upstream _check_cn.html。 


访问 http://10.0.0.7/status 页 面 时 ， 显 示 如 图 11-16 所 示 。 
[DN Nginx http upstream ch x 
€ SC D10.0.0.7/status/ 


Nginx http upstream check status 


Check upstream server number: 2, generation: 1 


0 |staticpools|10.009:80 四 Il | tp | 
1 |static pools|l0.00.10:slm lo | pp | 


图 11-16 正常 状态 下 Nginx 节 点 健康 检查 状态 


测试 节点 故障 的 命令 如 下 : 


[root@web01 ~]# /application/nginx/sbin/nginx -s stop 


访问 http://10.0.0.7/status 页 面 时 ， 显 示 如 图 11-17 所 示 。 


| Nginx http upstream ch x 
€ SC | 10.0.0.7/status/ 


Nginx http upstream check status 


Check upstream server number: 2, generation: 


1 lstaticpoolslio.0.0.10:s0lww 35 | tp lo 


11-17” 非 正常 状态 下 Nginx 节 点 健康 检查 状态 


特别 说 明 : 除了 此 种 插件 的 方法 外 ， 也 可 以 自己 开发 Shell 脚 本 监控 达到 上 述 效果 ， 具 体 代码 可 见 : http://oldboy.blog.51cto.com/2561410/1656844。 视 频 讲 解 
见 http://edu.51cto.com/index.phpdo=lesson&id=70879。 


11.10 ”proxy_next_upstream 参 数 补 充 


当 Nginx 接 收 后 端 服务 器 返回 proxy_next_upstream 参 数 定义 的 状态 码 时 ， 会 将 这 个 请 求 转发 给 正常 工作 的 后 端 服 务 器 ， 例 如 500、502、503、504， 此 参数 可 以 提升 用 户 的 访问 体验 ， 具 体 配置 如 下 : 


server { 
listen 80; 
server name www.etiantian.org; 
location / { 
proxy_pass http: // static pools; 
Proxy next upstream error timeout invalid header http 500 http 502 http 503 http 504; 
include proxy.conf; 


} 


11.11 本 章 重点 回顾 


1) 集群 的 概念 、 分 类 、 软 硬件 知识 。 


2 


upstream 负 载 均衡 模块 知识 。 


和 


http_proxy 代 理 模块 知识 及 相关 参数 。 


4) 基于 URI 路 径 、user_agent、 扩 展 名 规则 知识 及 实践 案例 。 


二 


监测 Nginx 代 理 下 面 节点 的 健康 状态 。 


第 12 章 ”Keepalived 高 可 用 集群 应 用 实践 


12.1 Keepalived 高 可 用 软件 


12.1.1 ”Keepalived 介 绍 


Keepalived 软 件 起 初 是 专 为 LVS 负 载 均衡 软件 设计 的 ， 用 来 管理 并 监控 LVS 集 群 系统 中 各 个 服务 节点 的 状态 ， 后 来 又 加 入 了 可 以 实现 高 可 用 的 VRRP 功 能 。 因 此 ，Keepalived 除 了 能 金管 理 LVS 软 件 外 ， 
还 可 以 作为 其 他 服务 (例如: Nginx、Haproxy、MySQL 等 ) 的 高 可 用 解决 方案 软件 ， 


Keepalived 软 件 主 要 是 通过 VRRP 协 议 实现 高 可 用 功能 的 。VRRP 是 Virtual Router Redundancy Protocol (虚拟 路 由 器 宛 余 协议 ) 的 缩写 ，VRRP 出 现 的 目的 就 是 为 了 解决 静态 路 由 单 点 故障 问题 的 ， 


它 能 够 保证 当 个 别 节 点 宕 机 时 ， 整 个 网 络 可 以 不 间断 地 运行 。 所 以 ，Keepalived 一 方面 具有 配置 管理 LVS 的 功能 ， 同 时 还 具有 对 LVS 下 面 节点 进行 健康 检查 的 功能 ， 另 一 方面 也 可 实现 系统 网 络 服务 的 高 可 有 


Keepalived 软 件 的 官方 站 点 是 http://www.keepalived.org。 


第 12 章 ”Keepalived 高 可 用 集群 应 用 实践 


12.1 Keepalived 高 可 用 软件 


12.1.1 ”Keepalived 介 绍 


Keepalived 软 件 起 初 是 专 为 LVS 负 载 均 衡 软件 设计 的 ， 用 来 管理 并 监控 LVS 集 群 系统 中 各 个 服务 节点 的 状态 ， 后 来 又 加 入 了 可 以 实现 高 可 用 的 VRRP 功 能 。 因 此 ，Keepalived 除 了 能 够 管理 LVS 软 件 外 ， 
还 可 以 作为 其 他 服务 (例如 : Nginx、Haproxy、MySQL 等 ) 的 高 可 用 解决 方案 软件 ， 


Keepalived 软 件 主 要 是 通过 VRRP 协 议 实现 高 可 用 功能 的 。VRRP 是 Virtual Router Redundancy Protocol (虚拟 路 由 器 宛 余 协议 ) 的 缩写 ，VRRP 出 现 的 目的 就 是 为 了 解决 静态 路 由 单 点 故障 问题 的 ， 


它 


够 保证 当 个 别 节点 宕 机 时 ， 整 个 网 络 可 以 不 间断 地 运行 。 所 以 ，Keepalived 一 方面 具有 配置 管理 LVS 的 功能 ， 同 时 还 具有 对 LVS 下 面 节点 进行 健康 检查 的 功能 ， 另 一 方面 也 可 实现 系统 网 络 服务 的 高 可 F 


Keepalived 软 件 的 官方 站 点 是 http://www.keepalived.org。 


12.2 Keepalived 高 可 用 服务 搭建 准备 


经 过 了 前 面 对 KeepalivedI1] 的 介绍 和 原理 讲解 ， 相 信 读 者 已 经 初步 了 解 了 Keepalived 这 个 高 可 用 软件 ， 下 面 开始 实战 之 旅 。 


1. 安 装 Keepalived 环 境 说 明 


这 里 建议 大 家 使 用 第 11 


(1) 硬件 环境 准备 


准备 4 台 物 理 服务 器 或 4 台 VM 虚 拟 机 ， 两 台 


HOSTNAME 
lb01 
1b02 
web01 
web02 


(2) CentOS 系 统 及 Nginx 代 理 环境 


下 面 是 CentOS 系 统 及 Nginx 代 理 环境 : 


10.0.0.8 
10.0.0.9 
10.0.0.10 


介绍 的 Nginx 负 载 均衡 的 系统 环境 来 安装 Keepalived 服 务 ， 


为 本 章 后 面 的 实战 案例 是 实现 Nginx 负 载 均衡 的 高 可 用 案例 。 安 装 Keepalived 的 基础 准备 环境 如 下 。 


来 做 Keepalived 服 务 ， 两 台 做 测试 的 Web 节 点 (如 表 12-1 所 示 ) 。 


表 12-1 Keepalived 高 可 用 服务 实验 环境 准备 


说 明 
Keepalived 主 服 务 器 (Neginx 主 负 和 载 均 衡器 ) 
Keepalived 备 服务 器 (Neginx 备 负载 均衡 器 ) 
web01 服务 器 (第 11 章 搭建 好 的 ) 
web02 服务 器 (第 11 章 搭建 好 的 ) 


[root@1b01 ~]# cat /etc/redhat-release 
(Final) 
[rootQ@lb01 ~]# uname -r 


CentOS release 6.6 


2.6.32-504.e16.x86 


64 


[root@1b01 ~]# uname -m 


X86 64 


[root@1b01 ~]# 1s -1 /application/nginx/ 总 
2 nginx root 4096 5 月 30 11: 40 
2 root root 4096 7 月 14 14: 31 
2 nginx root 4096 5 月 30 11: 40 
4 root root 4096 5 月 30 11: 45 
2 root root 4096 7 月 14 14: 32 
2 nginx root 4096 5 月 30 11: 40 
2 root root 4096 7 月 14 14: 25 
2 nginx root 4096 5 月 30 11: 40 
2 nginx root 4096 5 月 30 11: 40 


用 量 44 


Client body temp 
conf 一 
fastcgi temp 
html 

logs 

Proxy_temp 

sbin 

scgi temp 

uwsgi temp 


2. 开 始 安装 Keepalived 软 件 


侠 说 明 : 下 面 有 关 Keepalived 安 装 、 启 动 服务 的 操作 都 是 同时 处 理 Ib01、Ib02 两 台 机 器 。 


可 以 通过 官方 地 址 获取 Keepalived 源 码 软 件 包 编译 安装 ， 也 可 以 使 


yum 的 安装 方式 直接 安装 ， 这 里 选择 更 为 简便 的 后 者 一 一 yum 安 装 方式 ， 下 面 以 Ilb01 为 例 ， 介 绍 整 个 安装 步骤 ， 如 下 : 


[root@1b01 ~]# yum install keepalived -y 
[root@1b01 ~]# rpm -qa keepalived 


keepalived-1.2.13-5.e16 6.x86 64 


a ‘ 


1) 上 述 安装 过 程 需要 在 lb01 和 lb02 两 台 服 务 器 上 同时 安装 。 


2) Keepalived 版 本 为 2.13 版 。 


3. 启 动 Keepalived 服 务 并 检查 


启动 及 检查 Keepalived 服 务 的 命令 如 下 : 


[roote@lb01 ~]# /etc/init.d/keepalived start 正 在 启动 keepalived: 
[rootQlb01 ~]# ps -eflgrep keeplgrep -v grep 
00: 00 /usr/sbin/keepalived -D 


root 7263 1 0 17: 40 
root 7265 7263 0 17: 40 
root 7266 7263 0 17: 40 


00: 


00: 


# 提示 : 启动 后 有 3 个 Keepalived 进 程 表示 安装 正确 
[root@1lb01 ~]# ip addlgrep 192.168 
inet 192.168.200.16/32 scope global eth0 
inet 192.168.200.17/32 scope global eth0 
inet 192.168.200.18/32 scope global eth0 
# 提示 : 默认 情况 会 启动 三 个 VIP 地 址 
[root@1b01 ~]# /etc/init.d/keepalived stop 停 止 keepalived: 


# 提示 : 测试 完毕 后 关闭 服务 ， 上 述 测试 需 同时 在 lb01 和 1b02 两 台 服 务 器 上 进行 


: 00: 00 /usr/sbin/keepalived -D 


00: 00 /usr/sbin/keepalived -D 


4.Keepalived 配 置 文件 说 明 


和 其 他 使 用 yum 安 装 的 软件 一 样 ，Keepalived 软 件 的 配置 文件 默认 路 径 及 配置 文件 名 为 : 


[roote@lb01 ~]# 1s -1 /etc/keepalived/keepalived.conf 
~—rW-r--r-- 1 root roct 3562 3 月 


19 18: 21 /etc/keepalived/keepalived.conf 


前 文 已 经 说 过 ，Keepalived 软 件 有 3 个 主 : 


男孩 教育 的 LVS 视 频 或 者 网 上 文章 。 


功能 ， 


而 本 章 仅 讲 解 其 高 可 


部 分 的 功能 ， 


因此 ， 下 面 的 讲解 将 会 默认 去 掉 非 高 可 用 功能 的 相关 参数 ， 有 关 Keepalived 服 务 其 他 功能 参数 的 讲解 ， 请 参看 老 


这 里 的 具备 高 可 用 功能 的 keepalived.conf 配 置 文 件 包含 了 两 个 重要 区 块 ， 下 面 会 分 别 说 明 。 


(1) 全 局 定义 (Global Definitions) 部 分 


这 部 分 主要 用 来 设置 Keepalived 的 故障 通知 机 制 和 Router 1D 标识 。 示 例 代码 如 下 : 


[root@1b01 ~]# head -13 /etc/keepalived/keepalived.conflcat -n 
! Configuration File for keepalived 


Dp 


3 global defs { 

4 notification email { 

5 acassen@firewall.loc 

6 failover@firewall.loc 

7 sysadmin@firewall.loc 

8 } 

归 notification email from Alexandre.Cassen@firewall.loc 
10 smtp_server 192.168.200.1 

11 smtp_connect timeout 30 

12 router id LVS_ DEVEL 

13 


基础 参数 说 明 : 


第 1 行 是 注释 ，! 开头 和 # 号 开头 一 样 ， 都 是 注释 。 


第 2 行 是 空 行 。 


第 3~8 行 是 定义 服务 故障 报警 的 Email 地 址 。 作 用 是 当 服 务 发 生 切 换 或 RS 节点 等 有 故障 时 ， 发 报警 邮件 。 这 几 行 是 可 选 配置 ，notification_email 指 定 在 keepalived 发 生 导 


址 ， 可 以 有 多 个 ， 每 行 一 个 。 


第 9 行 是 指定 发 送 邮件 的 发 送 人 ， 即 发 件 人 地 址 ， 也 是 可 选 的 配置 。 


第 10 行 smtp_server 指 定 发 送 邮件 的 smtp 服 务 器 ， 如 果 本 机 开启 了 sendmail 或 postfix， 就 可 以 使 


第 11 行 smtp_connect timeout 是 连接 smtp 的 超时 时 间 ， 也 是 可 选 配置 。 


人 注意; 第 4~11 行 所 有 和 邮件 报警 相关 的 参数 均 可 以 不 配 ， 在 实际 工作 中 会 将 监控 的 任务 交 给 更 加 擅长 监控 报警 的 Nagios 或 Zabbix 软 件 。 


第 12 行 是 Keepalived 服 务 器 的 路 由 标识 (router_ id) 。 在 一 个 局 域 网 内 ， 这 个 标识 (router_id) 应 该 是 唯一 的 。 


大 括号 “{”。 用 来 分 隔 区 块 ， 要 成 对 出 现 。 如 果 漏 写 了 半 个 大 括号 ，Keepalived 运 行 时 ， 不 会 报错 ， 但 也 不 会 得 到 预期 的 结果 。 另 外 ， 由 于 | 


大 括号 ， 要 特别 注意 。 


更 多 参数 信息 请 执行 man keepalived.conf 获 得 。 


(2) VRRP 实 例 定义 区 块 (VRRP instance (s) ) 部 分 


这 部 分 主要 用 来 定义 具体 服务 的 实例 配置 ， 包 括 Keepalived 主 备 状态 、 接 


15 vrrp instance VI_1 { 


Tb state MASTER 

1 interface eth0 

18 virtual router id 51 
19 priority 100 ~ 

20 advert int 1 

2 authentication { 
22 auth type PASS 
2 auth pass 1111 
24 } 

25 Virtual ipaddress { 
26 192.168.200.16 
27 192.168.200.17 
28 192.168.200.18 
29 } 

0 } 

参数 说 明 : 


、 优 先 级 、 认 证 方式 和 IP 信 息 等 。 示 例 代 码 如 下 : 


区 


上 面 默认 配置 实现 邮件 发 送 ， 也 是 可 选 配置 。 


件 时 ， 需 要 发 送 的 Email 地 


块 间 存 在 多 层 府 套 关 系 ， 因 此 很 容易 遗漏 


尾 处 的 


第 15 行 表示 定义 一 个 vrrp_instance 实 例 ， 名 字 是 VI_1， 每 个 vrrp_instance 实 例 可 以 认为 是 Keepalived 服 务 的 一 个 实例 或 者 作为 一 个 业务 服务 ， 在 Keepalived 服 务 配 置 中 ， 这 样 的 vrrp_instance 实 例 可 


第 17 行 interface 为 网 络 通信 接口 。 为 对 外 提供 服务 的 网 络 接口 ， 如 eth0、eth1。 当 前 


第 16 行 state MASTER 表 示 当 前 实例 VI_1 的 角色 状态 ， 当 前 角色 为 MASTER， 这 个 状 
的 状态 。 当 MASTER 所 在 的 服务 器 故障 或 失效 时 ，BACKUP 所 在 的 服务 器 会 接管 故障 的 MASTER 继 续 提供 服务 。 


态 只 能 


有 MASTER 和 BACKUP 两 种 状态 ， 并 且 需 


以 有 多 个 。 注 意 ， 存 在 于 主 节 点 中 的 vrrp_instance 实 例 在 备 节点 中 也 要 存在 ， 这 样 才能 实现 故障 切换 接管 。 


流 的 服务 器 都 有 2~4 个 网 络 接口 ， 在 选择 服务 接口 时 ， 要 搞 清 楚 了 。 


大 写 这 些 字符 。 其 中 MASTER 为 正式 工作 的 状态 ，BACKUP 为 备 


第 18 行 virtual_router id 为 虚拟 路 由 ID 标识 ， 这 个 标识 最 好 是 一 个 数字 ， 并 且 要 在 一 个 keepalived.conf 配 置 中 是 唯一 的 。 但 是 MASTER 和 BACKUP 配 置 中 相同 实例 的 virtual_router id 又 必须 是 一 致 


的 ， 否 则 将 出 现 脑 裂 问题 。 


第 19 行 priority 为 优先 级 ， 其 后 面 的 数值 也 是 一 个 数字 ， 数 字 越 大 ， 表 示 实 例 优先 级 越 高 。 在 同一 个 vrrp_instance 实 例 旦 


那么 BACKUP 的 priority 必 须 小 于 150， 一 般 建议 间隔 50 以 上 为 佳 , 例如 : 设置 BACKUP 的 priority 为 100 或 更 小 的 数值 。 


第 20 行 advert_int 为 同步 通知 间隔。MASTER 与 BACKUP 之 间 通 信 检 查 的 时 间 间 隔 ， 单 位 为 秒 ， 默 认为 1。 


旺 ，MASTER 的 优先 级 配置 要 高 于 BACKUP 的 。 若 MASTER 的 priority 值 为 150， 


第 21~24 行 authentication 为 权限 认证 配置 。 包 含 认证 类 型 (auth_type) 和 认证 密码 (auth_pass) 。 认 证 类 型 有 PASS (Simple Passwd (suggested) ) 、AH (IPSEC (not recommended) ) 


两 种 ， 官 方 推荐 使 用 的 类 型 为 PASS。 验 证 密码 为 明文 方式 ， 最 好 长 度 不 要 超过 8 个 字符 


第 25~29 行 virtual_ipaddress 为 虚拟 IP 地 址 。 可 以 配置 多 个 I|P 地 址 ， 每 个 地 址 占 一 行 ， 配 置 


interface 参 数 配置 的 一 致 。 注 意 ， 这 里 的 虚拟 IP 就 是 在 工作 中 需要 和 域名 绑 定 的 IP， 朋 


[1] Keepalived 软 件 的 官方 文档 地 址 http://www.keepalived.org/documentation.html。 


12.3 ”Keepalived 高 可 用 服务 单 实例 实战 


12.3.1 配置 Keepalived 实 现 单 实例 单 |P 自 动 漂移 接管 


， 建 议 


4 位 的 


寺 最 好 明确 指定 子 网 掩 码 以 及 虚拟 IP 绑 定 的 网 络 接口 


和 配置 


的 高 可 上 


服务 监听 的 IP 要 保持 一 致 ! 


数字 ， 同 一 vrrp 实 例 的 MASTER 与 BACKUP 使 用 相同 的 密码 才能 正常 通信 。 


。 否 则 ， 子 网 掩 码 默 认 是 32 位 ， 绑 定 的 接 


和 前 


IP， 然 后 搭 好 相应 的 网 络 


NT 


实际 上 也 可 以 将 高 可 用 对 的 两 台 机 器 应 用 服务 同时 开启 ， 但 是 只 让 有 VIP 一 端的 服务 器 提供 服务 ， 若 主 的 服务 器 宕 机 ，VIP 会 


实 上 ， 网 络 服务 的 高 可 用 功能 基本 原理 都 很 简单 ， 就 是 把 手动 的 操作 自动 化 运行 而 已 。 当 没有 配置 高 可 用 服务 时 ， 如 果 服 务 器 宕 机 了 怎么 解决 呢 ? 无 非 就 是 找 一 个 新 服务 器 ， 配 好 域名 解析 的 那个 原 
民 务 罢了 ， 只 不 过 手工 去 实现 这 个 过 程 会 比较 漫长 ， 相 比 而 言 ， 自 动 化 切换 效率 更 高 ， 效 果 更 好 ， 而 且 还 可 以 有 更 多 的 功能 ， 例 如 : 发 送 ARP 广 播 ， 触 发 执行 相关 | 


郑 本 动作 等 。 


自动 漂移 到 备用 服务 器 上 ， 此 时 用 户 的 请 求 直接 发 送 到 备 


需 临 时 启动 对 应 服务 (事先 开启 应 用 服务 ) 。 下 面 来 讲解 VIP 自 动 漂移 的 实战 案例 。 


1. 实 战 配置 Keepalived 主 服务 器 lb01 MASTER 


首先 ， 配 置 lb01 MASTER 的 keepalived.conf 配 置 文件 ， 操 作 步 又 如 下 : 


服务 器 上 ， 而 无 


[root@1lb01 ~]# cd /etc/keepalived/ 
[root@1b01 keepalived]# vim keepalived.conf 


删 掉 已 有 的 所 有 默认 配置 ， 加 入 经 过 老 男 孩 老师 修改 好 的 如 下 配置 : 


! Configuration File for keepalived 
global defs { 
notification email { 
49000448-@qq. com 
} 
notification email from Alexandre.Cassen@firewall.loc 
smtp_server I27.0.0.1 
smtp_connect timeout 30 
router id 1b01 #<==id 为 ]b01， 不 同 的 keepalived.conf 此 ID 要 唯一 


实例 名 字 为 VT 1， 相同 实例 的 备 节点 名 字 要 和 这 个 相同 


} 


vrrp instance VI 1 { #< 


State MASTER #<: MASTER， 备 节点 状态 需要 为 BACKUP 
interface eth0 #<== 通 信 接 口 为 eth0， 此 参数 备 节点 设置 和 主 节点 相同 
virtual router id 55 #<== 实 例 ID 为 55，keepalived.conf 里 唯一 
priority 150 #<== 优 先 级 为 150， 备 节点 的 优先 级 必须 比 此 数字 低 
advert int 1 #<==- 通 信 检 查 间 隔 时 间 1 秒 
authentication { 

auth type PASS #<==PASS 认 证 类 型 ， 此 参数 备 节点 设置 和 主 节点 相同 


auth pass 1111 #<== 密 码 是 1111， 此 参数 备 节点 设置 和 主 节点 


} 
Virtual ipaddress { 
10.0.0.12/24 dev eth0 label eth0: 1 
#< 一 虚拟 ITP， 即 VIP 为 10.0.0.12， 子 网 掩 码 为 24 位 ， 绑 定 接口 为 eth0， 别 名 为 eth0: 1， 此 参数 备 节 点 设置 和 主 节点 相同 


} 
} 提 示 : 此 处 设置 的 虚拟 IP 为 10.0.0.12 


配置 完毕 后 ， 启 动 Keepalived 服 务 ， 如 下 : 


[root@lb01 keepalived]# /etc/init.d/keepalived start 正 在 启动 keepalived: 


然后 检查 配置 结果 ， 查 看 是 否 有 虚拟 IP 10.0.0.12。 


[rootQlb01 keepalived]# ip addrlgrep 10.0.0.12 
inet 10.0.0.12/24 scope global secondary eth0: 1 


出 现 上 述 带 有 vip: 10.0.0.12 行 的 结果 表示 lb01 的 Keepalived 服 务 单 实例 配置 成 功 。 
2. 实 战 配置 Keepalived 备 服务 器 lb02 BACKUP 


首先 ， 配 置 lb02 BACKUP 的 keepalived.conf 配 置 文件 ， 操 作 步 又 如 下 : 


[root@1b02 ~]# cd /etc/keepalived/ 
[root@1b02 keepalived]# Vim keepalived.conf 


删 掉 已 有 的 默认 配置 ， 加 入 经 过 老 男 孩 修 改 好 的 如 下 配置 (注意 和 lb01 的 不 同 ) : 


! Configuration File for keepalived 
global defs { 
notification email { 
49000448-@qq. com 


notification email from Alexandre.Cassen@firewall.loc 
smtp_server 127.0.0.1 
smtp_connect timeout 30 
router id 1b02 
} 
vrrp instance VI 1 { 
State BACKUP 
interface eth0 
virtual router id 55 
priority 100 
advert int 1 
authentication { 
auth type PASS 
auth pass 1111 
} 
Virtual ipaddress { 
10.0.0.12/24 dev eth0 label eth0: 1 
} 


配置 完毕 后 ， 启 动 Keepalived 服 务 ， 如 下 : 


[root@lb02 keepalived]# /etc/init.d/keepalived start 正 在 启动 keepalived: 


然后 检查 配置 结果 ， 查 看 是 否 有 虚拟 IP 10.0.0.12。 


[root@1b02 keepalived]# ip addrlgrep 10.0.0.12 
#<== 这 里 没有 返回 任何 结果 就 对 了 ， 因 为 1b02 为 BACKUP， 当 主 节点 活着 的 时 候 ， 它 不 会 接管 VIP 10.0.0.12。 


出 现 上 述 无 任何 结果 的 现象 ， 表 示 lb02 的 Keepalived 服 务 单 实例 配置 成 功 。 如 果 读 者 的 配置 过 滤 后 有 10.0.0.12 的 |P， 则 表示 Keepalived 工 作 不 正常 ， 同 一 个 I|P 地 址 同一 时 刻 应 该 只 能 出 现 一 台 服务 器 。 


如 果 查 看 BACKUP 备 节点 VIP 有 如 下 信息 ， 说 明 高 可 用 和 裂 脑 了 ， 裂 脑 是 两 台 服 务 器 争 抢 同 一 资源 导致 的 ， 例 如 : 两 边 都 配置 了 同一 个 VIP 地 址 。 


[root@1b02 keepalived]# ip addrlgrep 10.0.0.12 


inet 10.0.0.12/24 scope global secondary eth0: 1 


出 现 上 述 两 台 服务 器 争 抢 同一 IP 资源 问题 ， 一 般 要 先 考虑 排查 两 个 地 方 : 
“ 主 备 两 台 服务 器 之 间 是 否 通信 正常 ， 如 果 不 正 常 是 否 有 iptables 防 火 墙 阻挡 ? 


“ 主 备 两 台 服 务 器 对 应 的 keepalived.conf 配 置 文件 是 否 有 错误 ? 例如 ， 是 否 同一 实例 的 virtual_router id 配置 不 一 致 。 


3. 进 行 高 可 用 主 备 服务 器 切换 实验 


停 掉 主 服务 器 上 的 Keealived 服 务 或 关闭 主 服务 器 ， 操 作 及 检查 步骤 如 下 : 


[rootQlb01 keepalived]# ip aqqr1grep 10.0.0.12 

inet 10.0.0.12/24 scope global secondary eth0: 1 
[root@1b01 keepalived]# /etc/init.d/keepalived stop 停 止 keepalived: [确定 ] 
[root@lb01 keepalived]# ip aqdqr1grep 10.0.0.12  #<== 查 看 VIP 消失 了 


可 以 看 到 VIP 10.0.0.12 消 失 了 ， 此 时 查看 BACKUP 备 服务 器 ， 看 是 否 会 有 VIP 10.0.0.12 出 现 ， 操 作 及 检查 步骤 如 下 : 


[root@1b02 keepalived]# ip addrlgrep 10.0.0.12 
[root@1b02 keepalived]# ip addrlgrep 10.0.0.12 
inet 10.0.0.12/24 scope global secondary eth0: 1 


可 以 看 到 备 节 点 lb02 已 经 接管 绑 定 了 10.0.0.12 这 个 VIP， 这 期 间 备 节点 还 会 发 送 ARP 广 播 ， 让 所 有 的 客户 端 更 新 本 地 的 ARP 表 ， 以 便 客 户 端 访问 新 接管 VIP 服务 的 节点 。 


此 时 如 果 再 启动 主 服务 器 的 Keealived 服 务 ， 主 服务 器 就 会 接管 回 VIP 10.0.0.12， 启 动 后 可 以 观察 下 主 备 的 IP 漂 移 情况 ， 备 服务 器 是 否 释放 了 IP? 主 服务 器 是 否 又 接管 了 IP? 


主 节 点 启动 Keepalived 服 务 后 ， 发 现 很 快 就 又 接管 了 VIP10.0.0.12， 操 作 及 检查 步骤 如 下 : 


[root@lb01 keepalived]# /etc/init.d/keepalived start 正 在 启动 keepalived: [确定 ] 
[root@1b01 keepalived]# ip addrlgrep 10.0.0.12 
inet 10.0.0.12/24 scope global secondary eth0: 1 


与 此 同时 ， 备 节点 上 的 VIP 10.0.0.12 则 被 释放 了 ， 如 下 : 


[root@1b02 keepalived]# ip addr|lgrep 10.0.0.12 


这 样 就 实现 了 单 实例 Keepalived 服 务 IP 自 动 漂移 接管 了 ，VIP 漂 移 到 了 新 机 器 新 服务 上 ， 用 户 的 访问 请 求 自然 就 会 找 新 机 器 新 服务 了 。 


全 说 明 : 这 里 仅 实现 了 VIP 的 自动 漂移 切换 ， 因 此 ， 仅 适合 两 台 服 务 器 提供 的 服务 均 保持 开启 的 应 用 场景 ， 这 也 是 工作 中 常用 的 高 可 用 解决 方案 


12.4 ”Keepalived 高 可 用 服务 器 的 “和 裂 脑 ” 问 题 


12.4.1 什么 是 裂 及 


由 于 某 些 原 因 ， 导 致 两 台 高 可 用 服务 器 对 在 指定 时 间 内 ， 无 法 检测 到 对 方 的 心跳 消息 ， 各 自 取得 资源 及 服务 的 所 有 权 ， 而 此 时 的 两 台 高 可 用 服务 器 对 都 还 活着 并 在 正常 运行 ， 这 样 就 会 导致 同一 个 |P 或 
服务 在 两 端 同时 存在 而 发 生 冲突 ， 最 严重 的 是 两 台 主机 占用 同一 个 VIP 地 址 ， 当 用 户 写 入 数据 时 可 能 会 分 别 写 入 到 两 端 ， 这 可 能 会 导致 服务 器 两 端的 数据 不 一 致 或 造成 数据 丢失 ， 这 种 情况 就 被 称 为 裂 脑 。 


12.5 Keepalived 双 实例 双 主 模式 配置 


12.5.1 ”Keepalived 双 实例 双 主 模式 配置 实战 


前 面 给 出 的 是 Keepalived 单 实例 主 备 模式 的 高 可 用 演示 ，Keepalived 还 支持 多 实例 多 业务 双向 主 备 模式 ， 即 A 业 务 在 lb01 上 是 主 模式 ， 在 lb02 上 是 备 模式 ， 而 B 业 务 在 lb01 上 是 备 模式 ， 在 Ilb02 上 是 主 模 
式 ， 下 面 就 以 双 实 例 为 例 讲解 不 同业 务实 现 双 主 的 配置 。 表 12-4 为 Keepalived 双 实例 双 主 模式 IP 及 VIP 规划 表 。 


表 12-4 ”Keepalived 双 实例 双 主 模式 的 IP 及 VIP 规 划 表 


HOSTNAME 说 明 


lb01 VIP:10.0.0.12 (用 于 绑 定 A 服务 www.etiantian.org 域名 ) 
1b02 VIP:10.0.0.13 (用 于 绑 定 B 服务 bbs.etiantian.org 域名 ) 


首先 ， 配 置 lb01 10.0.0.7 的 keepalived.conf， 在 单 实例 的 基础 上 增加 一 个 vrrp_instance VI_2 实 例 ， 步 又 及 内 容 如 下 : 


[root@1lb01 ~]# cd /etc/keepalived/ 
[root@1b01 keepalived]# cat keepalived.conf ! Configuration File for keepalived 
global defs { 
notification email { 
49000448-@qq. com 
} 
notification email from Alexandre.Cassen@firewall.loc 
smtp_server I27.0.0.1 
smtp_connect timeout 30 
router id 1b01 
E 
vrrp instance VI_ 1 { 
State MRSTER 
interface eth0 
Virtual_router id 55 
priority 150 


advert int 1 

authentication { 
auth type PASS 
auth pass 1111 

} 

Virtual ipaddress { 
10.0.0.12/24 dev eth0 label eth0: 1 

i 

} 
vrrp instance VI 2 { 

state BACKUP 

interface eth0 

virtual router id 56 

priority 100 

advert int 1 

authentication { 
auth type PASS 
auth pass 1111 

} 

Virtual ipaddress { 
10.0.0.13/24 dev eth0 label eth0: 2 

} 


i: 以 vrrp_instance VI_1 在 lb01 10.0.0.7 服 务 器 上 的 角色 为 主 ，vrrp_instance VI_2 在 Ib01 10.0.0.7 服 务 器 上 的 角色 为 备 ， 加 粗 带 底 纹 部 分 为 增加 的 配置 。 


然后 配置 lb02 10.0.0.8 的 keepalived.conf， 在 单 实例 的 基础 上 增加 vrrp_instance VI_2 实 例 ， 步 又 及 内 容 如 下 : 


[root@1b02 keepalived]# cat keepalived.conf ! Configuration File for keepalived 
global defs { 
notification email { 
49000448-@qq. com 
} 
notification email from Alexandre.Cassen@firewall.loc 
smtp_server I27.0.0.1 
smtp_connect timeout 30 
router id 1b02 
} 
vrrp instance VI 1 { 
State BACKUP 
interface eth0 
virtual router id 55 
priority 100 
advert int 1 
authentication { 
auth type PASS 
auth pass 1111 


virtual ipaddress { 
10.0.0.12/24 dev eth0 label eth0: 1 
i 
} 
vrrp instance VI 2 { 
state MASTER 
interface eth0 
virtual router id 56 
priority 150 
advert int 1 
authentication { 
auth type PASS 
auth pass 1111 


virtual ipaddress { 
10.0.0.13/24 dev eth0 label eth0: 2 
} 


OA: 以 vrrp_instance VI_1 在 Ilb02 10.0.0.8 服 务 器 上 的 角色 为 备 ，vrrp_instance VI_2 在 Ib02 10.0.0.8 服 务 器 上 的 角色 为 主 ， 加 粗 带 底 纹 部 分 为 增加 的 配置 。 


接着 ， 在 Ilb01、Ib02 上 分 别 重 启 Keepalived 服 务 ， 观 察 初始 VIP 设置 情况 。 


lb01 操 作 的 结果 如 下 : 


[root@1b01 keepalived]# /etc/init.d/keepalived restart 停止 keepalived: [确定 ] 正 在 启动 keepalived: 
[root@1b01 keepalived]# ip addlegrep "10.0.0.12|10.0.0.13" 
[root@1b01 keepalived]# ip addlegrep "10.0.0.12110.0.0.13" 

inet 10.0.0.12/24 scope global secondary eth0: 1 


eA: 启动 lb01 后 ， 初 始 状态 已 经 启动 了 10.0.0.12 VIP， 即 lb01 由 VI_1 实 例 配 置 的 VIP 对 外 提供 服务 ， 例 如 可 以 把 www.etiantian.org 解 析 到 10.0.0.12 上 。 


lb02 操 作 的 结果 如 下 : 


[root@1b02 keepalived]# /etc/init.d/keepalived restart 停 止 keepalived: [确定 ] 正 在 启动 keepalived: 
[root@1b02 keepalived]# ip addlegrep "10.0.0.12|10.0.0.13" 
inet 10.0.0.13/24 scope global secondary eth0: 2 


Bia: 启动 lb02 后 ， 初 始 状态 已 经 启动 了 10.0.0.13 VIP， 即 lb02 由 VI_2 实 例 配 置 的 VIP 对 外 提供 服务 。 例 如 可 以 把 bbs.etiantian.org 解 析 到 10.0.0.13 上 。 


下 面 停 掉 任意 一 端 服务 器 或 者 Keepalived 服 务 ， 然 后 看 看 VIP 是 不 是 会 漂移 到 另 一 端 。 停 止 lb01 的 Keepalived 服 务 : 


[root@1lb01 keepalived]# /etc/init.d/keepalived stop 停 止 keepalived: [确定 ] 
[root@1b01 keepalived]# ip addlegrep "10.0.0.12|10.0.0.13" 
#<== 此 处 无 显示 信息 


可 以 看 到 ， 停 掉 后 ，VIP 10.0.0.12 即 被 释放 。 


现在 ,检查 lb02 服 务 器 上 VIP 的 接管 情况 : 


[root@1b02 keepalived]# ip addlegrep "10.0.0.12110.0.0.13" 
inet 10.0.0.13/24 scope global secondary eth0: 2 
inet 10.0.0.12/24 scope global secondary eth0: 1 


可 以 看 到 ， 已 经 接管 了 lb01 的 VIP 10.0.0.12。 


再 次 启动 lb01 的 Keepalived 服 务 : 


[root@lb01 keepalived]# /etc/init.d/keepalived start 正 在 启动 keepalived: [确定 ] 
[root@1lb01 keepalived]# ip addlegrep "10.0.0.12|10.0.0.13" 
inet 10.0.0.12/24 scope global secondary eth0: 1 


在 Ilb01 上 启动 Keepalived 服 务 后 ， 很 快 它 就 接管 回 了 自己 的 VIP。 


此 时 ， 检 查 Ilb02 服 务 器 上 此 时 IP 的 设置 情况 : 


[rootelb02 keepalived]# ip addlegrep "10.0.0.12110.0.0.13" 
inet 10.0.0.13/24 scope global secondary eth0: 2 


可 以 看 到 ， 已 经 释放 了 Ilb01 的 VIP。 


若是 停止 bb02 的 Keepalived 服 务 ，VIP 10.0.0.13 也 立即 被 释放 。 


[root@1b02 keepalived]# /etc/init.d/keepalived stop 停 止 keepalived: [确定 ] 
[root@1b02 keepalived]# :ip addlegrep "10.0.0.12110.0.0.13" 
#< 一 此 处 无 显示 信息 


然后 检查 Ilb01 服 务 器 上 IP 的 接管 情况 : 


[rootelb01 keepalived]# ip addlegrep "10.0.0.12110.0.0.13" 
inet 10.0.0.12/24 scope global secondary eth0: 1 
inet 10.0.0.13/24 scope global secondary eth0: 2 


可 以 看 到 ， 它 也 接管 了 lb02 的 VIP 10.0.0.13。 


到 此 为 止 ， 我 们 发 现 lb01、lb02 主 备 节点 已 经 实现 了 初始 配置 的 VIP 服务 状态 ， 当 任意 一 端 罕 机 ，VIP 可 以 实现 互相 切换 接管 。 在 实际 工作 中 ， 可 以 把 www.etiantian.org 解 析 到 10.0.0.12 提 供 服 务 ， 把 
bbs.etiantian.org 解 析 到 10.0.0.13 提 供 服 务 ， 当 然 了 ，lb01、lb02 也 要 配置 相应 服务 ， 例 如 : Nginx 反 向 代理 服务 等 。 


12.6 ”Nginx 负 载 均衡 配合 Keepalived 服 务 案 例 实战 


12.6.1 ”在 lb01 和 Ib02 上 配置 Nginx 负 载 均衡 


结合 第 11 章 介绍 的 Nginx 负 载 均衡 的 环境 ， 根 据 图 12-2 调 整 好 主 负载 均衡 器 lb01、 备 用 负载 均衡 器 lb02 服 务 器 上 Nginx 负 载 均衡 环境 ， 两 台 服 务 器 的 安装 基础 环境 一 模 一 样 。 


负载 均衡 集群 


这 里 使 用 的 Nginx 负 载 均衡 的 配置 如 下 : 


网 


图 12-2 ”Nginx 负 载 均衡 器 高 可 用 逻辑 


[roote@lb01 conf]# cat nginx.conf 
worker processes 1; 
events { 

worker connections 1024; 


} 


http { 
include mime.types; 
default type application/octet-stream; 
sendfile on; 


keepalive timeout 65; 

upstream www server pools { 
server 10.0.0.9: 80 weight=1; 
server 10.0.0.10: 80 weight=1; 

} 

server { 
listen 10.0.0.12» S03 
server name www.etiantian.org; 
location / { 
proxy_pass http: // www_server pools; 
proxy_set header Host S$host; 
proxy_set header X-Forwarded-For $remote addr; 
} 


@iaA: 此 配置 仅 代理 了 www.etiantian.org 域 名 。 


12.7 解决 服务 监听 的 网 卡 上 不 存在 IP 地 址 问题 


如 果 配 置 使 用 “listen 10.0.0.12: 80; ”的 方式 指定 IP 监 听 服 务 ， 而 本 地 的 网 卡 上 没有 10.0.0.12 这 个 IP，Nginx 就 会 报错 ， 如 下 : 


[root@1b01 server]# /application/nginx/sbin/nginx 


nginx: [emerg] bind () to 10.0.0.12: 80 failed (99: Cannot assign requested address) 


如 果 要 实施 双 主 即 主 备 同时 跑 不 同 的 业务 ， 配 置 文件 里 指定 了 IP 监 听 ， 备 节 


出 现 上 面 问题 的 原因 就 是 在 物理 网 卡 上 没有 与 配置 文件 里 监听 的 IP 相 对 应 的 P， 解 决 办 法 是 在 /etc/sysctl.conf 中 加 入 如 下 内 核 参数 配置 : 


点 则 会 因为 网 卡 实际 不 存在 VIP 也 报错 。 


net.ipv4.ip nonlocal bind = 1 


也 可 通过 如 下 命令 快速 追加 : 


echo 'net.ipv4.ip nonlocal bind = 1' >> /etc/sysctl.conf 注 *: 


4.net.ipv4.ip nonlocal bind = 1 # 此 项 表示 启动 nginx 而 忽略 配置 中 监听 的 VIP 是 否 存在 ， 它 同样 适合 Haproxy。 


最 后 执行 sysctl-p 使 上 述 修改 生效 。 


12.8 ”解决 高 可 用 服务 只 针对 物理 服务 器 的 问题 


默认 情况 下 Keepalived 软 件 仅仅 在 对 方 机 器 宕 机 或 Keepalived 停 掉 的 时 候 才 会 接管 业务 。 但 在 实际 工作 中 ， 有 业务 服务 停止 而 Keepalived 服 务 还 在 工作 的 情况 ， 这 就 会 
应 的 服务 ， 那 么 ， 如 何 解 决 业务 服务 宕 机 可 以 将 IP 漂 移 到 备 节点 使 之 接管 提供 服务 呢 ? 


第 一 个 方法 : 可 以 写 守 护 进 程 脚本 来 处 理 。 当 Nginx 业 务 有 问题 时 ， 就 停 掉 本 地 的 Keepalived 服 务 ， 实 现 1P 漂 移 到 对 端 继续 提供 服务 。 实 际 工作 中 部 署 及 开发 的 示例 脚本 如 下 : 


Ey 


各 


户 访问 的 VIP 无 法 找到 对 


[root@lb01 script]# cat check nginx.sh 

#! /bin/sh 

while true 

do 

if [ ‘netstat -lntuplgrep nginx|wc -1 -ne 1 ]; then 
/etc/init.d/keepalived stop 


此 脚本 的 基本 思想 是 若 没 有 80 端 口 存在 ， 就 停 掉 Keepalived 服 务实 现 释放 本 地 的 VIP。 


在 后 台 执 行 上 述 脚本 并 检查 : 


[root@1lb01 script]# sh check nginx.sh & 
[1] 10231 
[root@1b01 script]# ps -eflgrep checklgrep -V grep 


root 10231 8382 0 22: 36 pts/0 00: 00: 00 sh check nginx.sh 


确认 Nginx 以 及 Keepalived 服 务 是 正常 的 。 


[root@1b01 script]# netstat -lntupl|lgrep nginx 
tcp 0 0 10.070.12; 80 0.0.0.0: * LISTEN 
[root@1b01 script]# /etc/init.d/keepalived status 


keepalived (pid 10205) 正在 运行 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0OEBPS/Text/... 


9244/nginx 


然后 模拟 Nginx 服 务 挂 掉 ， 看 IP 是 否 发 生 切 换 。 


[root@1b01 script]# /application/nginx/sbin/nginx -s stop 


[roote@lb01 script]# 停止 keepalived: [确定] #<== 这 是 停 掉 nginx 后 系统 的 提示 输出 。 


[root@lb01 script]# /etc/init.d/keepalived status 


keepalived 已 停 
[root@1b01 script]# netstat -lntuplgrep nginx 


此 时 ， 备 节点 已 接管 : 


[root@1b02 conf]# ip addlgrep 10.0.0.12 
inet 10.0.0.12/24 scope global secondary eth0: 1 


第 二 个 方法 : 可 以 使 


Keepalived 的 配置 文件 参数 触发 写 好 的 监测 服务 脚本 。 


首先 要 开发 监测 服务 脚本 ， 注 意 这 个 脚本 与 上 一 个 脚本 的 不 同 。 


root@1lb01 scripts]# cat chk nginx proxy.sh 
#! /bin/sh 

if [ ‘netstat -lntuplgrep nginx|wc -1 
/etc/init.d/keepalived stop 


-ne 1 ]; then 


六 于 

root@1lb01 scripts]# chmod +x chk nginx proxy.sh 

root@1lb01 scripts]# ls -1 chk nginx proxy.sh 

-rwWwxr-xr-x 1 root root 97 7 月 17 22: 50 chk nginx proxy.sh 


此 时 ，Keepalived 服 务 的 完整 配置 为 : 


Toot@lb01 script]# cat /etc/keepalived/keepalived.conf! 
global defs { 

notification email { 

49000448-@qq. com 


notification email from Alexandre.Cassen@firewall.loc 
smtp_server I27.0.0.1 
smtp_connect timeout 30 
router id 1b01 
} 


vrrp_script chk nginx proxy { # <== 定 义 Vrrp 肢 本， 检测 HTTP 端 口 
script "/server/scripts/chk nginx proxy.sh" # 

interval 2 # < 一 间隔 2 秒 

weight 2 


} 
vrrp instance VI 1 { 
state MASTER 
interface eth0 
Virtual router id 55 
priority 150 ~ 
advert int 1 
authentication { 
auth type PASS 
auth pass 1111 
} 
Virtual ipaddress { 
10.0.0.12/24 dev eth0 label eth0: 1 
} 
track script { 


chk nginx proxy # <= 一 触发 检查 
} 


Configuration File for keepalived 


<== 执 行 脚本 ， 当 Nginx 服 务 有 问题 ， 就 停 挤 Keepalived 服 务 


下 面 测试 接管 结果 。 


[root@1b01 server]# netstat -lntuplgrep nginx 
tcp 0 0 10.0.0.12; 80 1 LISTEN 
[root@1b01 server]# /etc/init.d/keepalived status 
keepalived (pid 12177) 
[root@1b01 server]# ip addlgrep 10.0.0.12 

inet 10.0.0.12/24 scope global secondary eth0: 1 
[root@1b01 server]# /application/nginx/sbin/nginx -s stop 
[root@1b01 server]# :ip addlgrep 10.0.0.12 
[root@1b01 server]# /etc/init.d/keepalived status 
keepalived 已 停 


12161/nginx 


正在 运行 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/OEBPS/Text/... 


当 停 掉 Nginx 的 时 候 ，Keepalived 2 秒 钟 内 会 被 自动 停 掉 ，VIP 被 释放 ， 由 对 端 接管 ， 这 样 就 实现 了 即使 服务 宕 机 也 会 进行 IP 漂 移 ， 业 务 切 换 。 


12.9 ”解决 多 组 Keepalived 服 务 器 在 一 个 局 域 网 的 冲突 问题 


当 在 同一 个 局 域 网 内 部 署 了 多 组 Keepalived 服 务 器 对 ， 而 又 未 使 


专门 的 心跳 线 通信 时 ， 可 能 会 发 生 高 可 


接管 的 严重 故障 问题 。 前 文 已 经 讲解 过 Keepalived 高 可 | 


的 ，VRRP 协 议 默认 通过 IP 多 播 的 形式 实现 高 可 用 对 之 间 的 通信 ， 如 果 同 一 个 局 域 网 内 存在 多 组 Keepalived 服 务 器 对 ， 就 会 造成 IP 多 播 地 址 冲突 问题 ， 导 致 接管 错乱 ， 不 同 组 的 Keepalived 都 会 使 
224.0.0.18 作 为 多 播 地 址 。 此 时 的 解决 办 法 是 ， 在 同 组 的 Keepalived 服 务 器 所 有 的 配置 文件 里 指定 独一无二 的 多 播 地 址 ， 配 置 如 下 : 


功能 是 通过 VRRP 协 议 实 现 


默认 的 


global defs { 

router id LVS 19 

Vrrp_mcast_group4 224.0.0.19 #< 一 这 个 就 是 指定 多 播 地 址 的 配置 
} 


@iaa ; 


1) 不 同 实例 的 通信 认证 密码 也 最 好 不 同 ， 以 确保 接管 正常 。 


2) 另 一 款 高 可 用 软件 Heartbeat， 如 果 采 用 多 播 方式 实现 主 备 通信 ， 同 样 会 有 多 播 地 址 冲突 问题 。 


12.10 ”配置 指定 文件 接收 Keepalived 服 务 日 志 


默认 情况 下 Keepalived 服 务 日 志 会 输出 到 系统 日 志 /var/log/messages， 和 其 他 


志 信息 混合 在 一 起 ， 很 不 方便 ， 可 以 将 其 调整 成 由 独立 的 文件 记录 Keepalived 服 务 日 志 。 操 作 步 骤 如 下 : 


1) 编辑 配置 文件 /etc/sysconfig/keepalived， 将 第 14 行 的 “KEEPALIVED_OPTIONS="-D"” 修 改 为 “KEEPALIVED_OPTIONS="-D-d-S 0"”， 快 速 修改 方法 为 : 


[root@1b01 server]# sed -i '14 s#KEEPALIVED OPTIONS="-D"#KEEPALIVED OPTIONS="-D -d -S 0"#g' /etc/sysconfig/keepalived 
[root@lb01 server]# sed -n '14p' /etc/sysconfig/keepalived 
KEEPALIVED OPTIONS="-D -qd -S 0" 说 明 : 可 以 查看 /etc/sysconfig/keepalived 里 注释 获得 上 述 和 参数 的 说 明 


# --dump-conf -d 导出 备份 配置 数据 
# --log-detail -D 详细 日 志 
# --log-facility -Ss 设置 本 地 的 Syslog 设 备 ， 编 号 0-7 (default=LOG DAEMON) 


# -S 0 表示 指定 为 local0 设 备 


2) 修改 rsyslog 的 配置 文件 vi/etc/rsyslog.conf， 在 结尾 处 加 入 如 下 2 行内 容 : 


#keepalived 
locald.* /var/log/keepalived.1og 


上 述 配 置 表示 来 自 local0 设 备 的 所 有 日 志 信 息 都 记录 到 /var/log/keepalived.log 文 件 。 


然后 在 约 第 42 行 如 下 信息 的 第 一 列 结尾 加 入 “; local0.none” 


*.info; mail.none; authpriv.none; cron.none; local0.none /var/log/messages 


上 述 配 置 表示 来 自 local0 设 备 的 所 有 日 志 信 息 不 再 记录 于 /var/log/messages 里 。 


3) 配置 完成 后 ， 


启 rsyslog 服 务 。 


[root@1lb01 server]# /etc/init.d/rsyslog restart 关 闭 系 统 日 志 记 录 器 : [确定 ] 启 动 系统 日 志 记 录 器 : [确定 ] 


4) 测试 Keepalived 日 志 记 录 结 果 。 在 


启 Keepalived 服 务 后 ， 就 会 把 日 志 信 息 输出 到 rsyslog 定 义 的 /var/log/keepalived.log 文 件 ， 如 下 : 


[root@1b01 server]# tail /var/log/keepalived.1log 
Jul 17 23: 22: 44 lb01 Keepalived healthcheckers{[12373]: 
Jul 17 23: 22: 44 1b01 Keepalived healthcheckers[12373]: 
Jul 17 23: 22: 44 lb01 Keepalived healthcheckers[12373]: ”Email notification = 49000448-@qq.com 
Jul 17 23: 22: 44 1b01 Keepalived healthcheckers[12373]: VRRP IPv4 mcast group = 224.0.0.18 


1 Smtp server connection timeout = 30 
| 

Jul 17 23: 22: 44 1b01 Keepalived healthcheckers 2 VRRP IPv6 mcast group 224.0.0.18 
| 
I 


Email notification from = Alexandre.Cassen@firewall.loc 


Jul 17 23: 22: 44 lb01 Keepalived healthcheckers [12373] : SNMP Trap disabled 
Jul 17 23: 22: 44 1b01 Keepalived healthcheckers[12373] : 
Jul 17 23: 22: 44 lb01 Keepalived healthcheckers [12373] : Using autogen SSL context 

Jul 17 23: 22: 44 1b01 Keepalived healthcheckers[12373]: Using LinkWatch kernel netlink reflectorhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncon 


Jul 17 23: 22: 44 lb01 Keepalived[12371]: Stopping Keepalived v1.2.13 (03/19, 2015) 


如 果 要 求 更 高 ， 还 可 以 在 /var/log/messages 上 设置 对 /var/log/keepalived.log 进 行 轮 询 ， 以 防 单个 日 志文 件 变 得 太 大 。 


[root@1lb01 server]# >/var/1log/messages #<== 清 空 所 有 上 日志， 然后 查看 是 否 还 有 记录 到 messages。 


[root@1b01 server]# tail /var/log/messages 


12.11 ”开发 监测 Keepalived 裂 脑 的 脚本 


检测 思路 : 在 备 节点 上 执行 脚本 ， 如 果 可 以 ping 通 主 节 点 并 且 备 节点 有 VIP 就 报警 ， 让 人 员 介 入 检查 是 否 裂 脑 。 


1) 在 lb02 备 节点 开发 脚本 并 执行 。 


[roote@lb02 scripts]# cat check split brain.sh 
#! /bin/sh 
1b01 vip=10.0.0.12 
lb01 ip=10.0.0.7 
while true 
do 
Ping -c 2 -W 3 $1b01 ip &>/dev/null 
if [ $ -eq 0 -a ‘ip add|grep "$1b01 vip"lwe -1 -eq 1 ] 
then 
echo "ha is split brain.warning." 
else 
echo "ha is ok" 


[root@1b02 scripts]# sh check split brain.sh 
ha is ok 
ha is ok 


正常 情况 下 ， 主 节点 活着 ，VIP 10.0.0.12 在 主 节点 ， 因 此 不 会 报警 ， 提 示 "ha is ok"。 


2) 停止 Keepalived 服 务 看 lb02 脚 本 执行 情况 。 


lb01 上 : 


[root@1lb01 scripts]# /etc/init.d/keepalived stop 停 止 keepalived: [确定 ] 
[root@1b01 scripts]# ip addlgrep 10.0.0.12 


在 lb02 上 观察 即 可 ， 此 前 脚本 已 经 执行 。 


[root@1b02 scripts]# sh check split brain.sh 
ha is ok 

ha is ok 

ha is split brain.warning. 

ha is split brain.warning. 

ha is split brain.warning. 


3) 关 掉 Ib01 服 务 器 ， 然 后 再 观察 lb02 脚 本 的 输出 。 


[root@1b02 scripts]# sh check split brain.sh 
ha is ok 

ha is ok 

ha is split brain.warning. 

ha is split brain.warning. 

ha is split brain.warning. 


ha is split brain.warning. 
ha is split brain.warning. 
ha is split brain.warning. 
ha is ok 
ha is ok 
ha is ok 
ha is ok 


裂 脑 报警 恢复 了 。 


4) 可 以 将 此 脚本 整合 到 Nagios 或 Zabbix 监 控 服务 里 ， 进 


12.12 本章 重点 回顾 


~ 


9) 


Keepalived 及 VRRP 协 议 原理 。 


Keepalived 配 置 文件 重要 参数 。 


Keepalived 单 多 实例 VIP 漂移 的 配置 及 实战 。 


有 裂 脑 的 概念 及 如 何 规避 解决 裂 脑 问题 。 


Keepalived 单 多 实例 结合 Nginx 代 理 配 置 实战 。 


服务 监听 网 卡 上 不 存在 IP 地 址 问题 解决 方案 。 


高 可 用 服务 只 针对 物理 服务 器 问题 解决 方案 。 
多 组 Keepalived 服 务 器 对 通信 冲突 问题 解决 方案 。 


配置 指定 文件 接收 Keepalived 服 务 日 志 。 


10) 开发 监测 Keepalived 裂 脑 的 思路 及 脚本 。 


本 章 


Memcached 是 一 套 仅 利用 系统 内 存 进 行 数 : 


行 监控 报警 。 


第 13 章 


企业 级 Memcached 服 务 应 用 实践 


要 介绍 企业 级 Memcached 服 务 的 应 用 实践 ， 包 括 软件 工作 运行 原理 和 应 用 场景 以 及 生产 中 的 部 署 、 优 化 等 经 验 。 


居 缓 存 的 软件 ， 常 用 于 在 动态 Web 集 群 系统 后 端 、 数 据 库 前 端 等 处 ， 可 临时 缓存 Web 系 统 查询 过 的 数据 库 数 据 ， 当 用 户 请 求 查询 数据 时 ， 由 Memcached 优 


先 提供 服务 ， 从 而 减少 Web 系 统 直 接 请 求 数据 库 的 次 数 ， 这 极 大 地 降低 了 后 端 数据 库 的 压力 ， 也 因此 提升 了 网 站 系统 的 性 能 ; Memcached 服 务 是 通过 预 分 配 指定 的 内 存 空间 来 存 取 数 据 的 ， 因 此 它 比 


MySQL 这 样 的 数据 库 要 快 很 多 ( 


为 MySQL 数 据 库 需要 频繁 操作 磁盘 ) 。 另 外 ，Memcached 也 经 常用 于 共享 存储 集群 架构 后 端 所 有 Web 节 点 服务 器 的 session 会 话 数据 。 学 习 完 本 章 ， 读 者 可 以 掌握 


Memcached 服 务 的 企业 级 技术 实战 ， 轻 松 构建 以 及 维护 大 型 网 站 中 后 端的 缓存 系统 架构 。 


恬 测 


13:131 


Memcached 介 绍 


1.Memcached 是 什么 ? 


Memcached 是 一 个 开源 的 、 支 持 高 性 能 、 高 并 发 
“cache” 就 是 缓存 的 意思 ， 


Memcached 与 常见 同类 软件 对 比 


的 分 布 式 内 存 缓存 系统 ， 由 C 语 言 编 写 ， 总 共 2000 多 行 代码 。 从 软件 名 称 上 看 ， 前 3 个 字符 “Mem” 就 是 内 存 的 意思 ， 而 接 下 来 的 后 面 5 个 字 
最 后 一 个 字符 d， 是 daemon 的 意思 ， 代 表 是 服务 器 端 守护 进程 模式 服务 。 


Memcached 服 务 分 为 服务 器 端 和 客户 端 两 部 分 ， 其 中 ， 服 务 器 端 软件 的 名 字形 如 Memcached-1.4.24.tar.gz， 客 户 端 软 件 的 名 字形 如 Memcache-2.25.tar.gz。 


Memcached 软 件 诞 生 于 2003 年 ， 最 初 由 LiveJournal 的 Brad Fitzpatrick 开 发 完成 。Memcache 是 整个 项 目的 名 称 ， 而 Memcached 是 服务 器 端的 主 程序 名 ， 因 其 协议 简单 ， 应 用 部 署 方 便 、 且 支持 高 


并 发 


中 | 
man 


2.Memcached 的 作用 


因此 被 互联 网 企业 广泛 使 用 ， 直 到 现在 仍然 如 此 。 其 官方 网 站 地 址 : http://memcached.org/。 


传统 场景 中 ， 多 数 Web 应 用 都 将 数据 保存 到 关系 型 数据 库 中 (例如: MySQL) ， Web 服务器 从 中 读 取 数据 并 在 浏览 器 中 显示 。 但 随 着 数据 量 的 增 大 、 访 问 的 集中 ， 关 系 型 数据 库 的 负担 就 会 出 现 加 


这 时 就 需要 Memcached 软 件 H 


、 响 应 缓慢 、 导 致 网 站 打开 延迟 等 问题 ， 影 响 用 户 体验 。 


发 能 力 和 可 扩展 性 。 


Memcached 服 务 的 运行 原理 是 通过 在 对 


访问 能 力 。 


生产 场景 的 Memcached 服 务 一 般 被 用 来 保存 网 站 中 经 常 被 读 取 的 对 象 或 数 


为 磁盘 是 机 械 的 ， 因 此 ， 在 当今 的 IT 企 业 中 ，Memcached 的 应 用 范 


H 马 了 。 使 用 Memcached 的 半 


出 | 


要 目的 是 ， 通 过 在 自身 内 存 中 缓存 关系 型 数据 库 的 查询 结果 ， 减 少数 据 库 被 访问 的 次 数 ， 以 提高 动态 Web 应 用 的 速度 、 提 高 网 站 架构 的 并 


先 规划 好 的 系统 内 存 空间 中 临时 缓存 数据 库 中 的 各 类 数据 ， 以 达到 减少 前 端 业务 服务 对 数据 库 的 直接 高 并 发 访问 ， 从 而 提升 大 规模 网 站 集群 中 动态 服务 的 并 发 


很 广泛 。 


居 ， 就 像 我 们 的 客户 端 浏览 器 也 会 把 经 常 访问 的 网 页 缓存 起 来 一 样 ， 通 过 内 存 缓存 来 存 取 对 象 或 数据 要 比 磁盘 存 取 快 很 多 ， 


13.2 ”Memcached 的 用 途 与 应 用 场景 


13.2.1 Memcached 常 见 用 途 工作 流程 


Memcached 是 一 种 内 存 缓存 软件 ， 在 工作 中 经 常用 来 缓存 数据 库 的 查询 数据 ， 数 据 被 缓存 在 事先 预 分 配 的 Memcached 管 理 的 内 存 中 ， 可 以 通过 API 或 命令 的 方式 存 取 内 存 中 缓存 的 这 些 数 


1. 网 站 读 取 Memcached 数 据 时 工作 流程 


据 ，Memcached 服 务 内 存 中 缓存 的 数据 就 像 一 张 巨大 的 hash 表 ， 每 条 数据 都 是 以 Key-value 对 的 形式 存在 。 


从 逻辑 上 来 说 ， 当 程序 访问 后 端 数据 库 获 取 数 据 时 会 优先 访问 Memcached 缓 存 ， 如 果 缓 存 中 有 数据 就 直接 返回 给 客户 端 用 户 ， 如 果 没 有 合适 的 数据 (没有 命中 ) ， 再 去 后 端的 数据 库 读 取 数据 ， 读 取 
到 需要 的 数据 后 ， 就 会 把 数据 返回 给 客户 端 ， 同 时 还 会 把 读 取 到 的 数据 缓存 到 Memcached 内 存 中 ， 这 样 客户 端 用 户 再 次 请 求 相 同 的 数据 时 就 会 直接 读 取 Memcached 缓 存 的 数据 了 ， 这 就 大 大 地 减轻 了 后 


端 数据 库 的 压力 ， 并 提高 了 整个 网 站 的 响应 速度 ， 提 升 了 用 户 体验 。 


图 13-1 展 示 了 Memcached 缓 存 系统 和 后 端 数据 库 系 统 的 协作 流程 。 


inemcached 


memcachedll memcached 


se 站 次 访问 ， 从 RDBMS 中 取得 数据 保存 到 memcached 
Eee 人 后 ， 从 memcached 中 取得 数据 显示 页 面 


13-1 Memcached 作 为 网 站 缓存 应 用 读数 据 流程 图 


在 图 13-1 中 ， 使 用 Memcached 缓 存 查询 的 数据 来 减少 数据 库 压力 的 具体 工作 流程 如 下 : 


1) Web 程 序 首先 检查 客户 端 请 求 的 数据 是 否 在 Memcached 缓 存 中 存在 ， 如 果 存 在 ， 直 接 把 请 求 的 数据 返回 给 客户 端 ， 此 时 不 再 请 求 后 端 数据 库 。 


DN 


2. 网 站 更 新 Memcached 数 据 时 的 工作 流程 


具体 流程 如 下 : 


1) 当 程 序 更 新 或 删除 数据 时 ， 会 首先 处 理 后 端 数据 库 中 的 数据 。 


存 集群 最 头疼 的 问题 所 在 。 


如 果 请 求 的 数据 在 Memcached 缓 存 中 不 存在 ， 则 程序 会 去 请 求 数据 库 服务 ， 把 从 数据 库 中 取 到 的 数据 返回 给 客户 端 ， 同 时 把 新 取 到 的 数据 缓存 一 份 到 Memcached 缓 存 中 。 


2) 在 处 理 后 端 数据 库 中 数据 的 同时 ， 也 会 通知 Memcached， 告 诉 它 对 应 的 旧 数 据 失效 ， 从 而 保证 Memcached 中 缓存 的 数据 始终 和 数据 库 中 一 致 ， 这 个 数据 一 致 性 非常 重要 ， 也 是 大 型 网 站 分 布 式 缓 


3) 如 果 是 在 高 并 发 读 写 场 合 ， 除 了 要 程序 通知 Memcached 过 期 的 缓存 失效 外 ， 还 可 能 要 通过 相关 机 制 ， 例 如 在 数据 库 上 部 署 相关 程序 (如 在 数据 库 中 设置 触发 器 使 用 UDFs) ， 实 现 当 数 据 库 有 更 新 


时 就 把 数据 更 新 到 Memcached 服 务 中 ， 这 样 一 来 ， 客 户 端 在 访问 新 数据 时 ， 因 预先 把 更 新 过 的 数据 库 数 据 复制 到 Memcached 中 缓存 起 来 了 ， 所 以 可 以 减少 第 一 次 查询 数据 库 带 来 的 访问 压力 ， 提 升 
Memcached 中 缓存 的 命中 率 ， 甚 至 新 浪 门户 还 会 把 持久 化 存储 Redis 做 成 MySQL 数 据 库 的 从 库 ， 实 现 真正 的 主 从 复制 。 


Memcached 网 站 作为 缓存 应 用 更 新 数据 流程 见 图 13-2。 


Memcached 服 务 作 为 缓存 应 用 通过 相关 软件 更 新 数据 流程 见 图 13-3。 


(1) 更 新 数据 
(3 ) 通知 MC 
更 新 对 应 数据 


13-2 ”Memcached 网 站 作为 缓存 应 用 更 新 数据 流程 


网 


新 MC 内 数据 


图 13-3 Memcached 作 为 缓存 应 用 通过 软件 更 新 数据 流程 


在 生产 工作 中 ， 图 13-2 比 图 13-3 的 方案 更 为 常用 ， 老 男孩 也 推荐 采用 图 13-2 的 架构 方案 ， 即 由 网 站 程序 负责 更 新 Memcached 缓 存 。 


13.3 Memcached 的 特点 与 工作 机 制 | 


13.3.1 Memcached 的 特点 


: 协议 简单 。Memcached 的 协议 实现 很 简单 ， 采 用 的 是 基于 文本 行 的 协议 ， 能 通过 telnet/nc 等 命令 直接 操作 Memcached 服 务 存 取 数据 。 


“ 支持 epoll/kqueue 异 步 1/ 〇 模型 使 用 libevent 作 为 事件 处 理 通 知 机 制 。 


简单 的 说 ，libevent 是 一 套利 用 C 开 发 的 程序 库 ， 它 将 BSD 系 统 的 kqueue、Linux 系 统 的 epoll 等 事件 处 理 功能 封装 成 一 个 接口 ， 确 保 即 使 服务 器 端的 连接 数 增加 也 能 发 挥 很 好 的 性 能 。Memcached 就 是 
利用 这 个 libevent 库 进行 异步 事件 处 理 的 。 


“ 采用 key/value 键 值 数 据 类 型 。 

被 缓存 的 数据 以 key/value 键 值 形式 存在 ， 例 如 : 

oldboy >36，key=oldboy，value=36 

oldgirl>28, key=oldgid, value=28 

通过 oldboy key 可 以 获取 到 36 值 ， 同 理 通过 oldgirl key 可 以 获取 28 值 。 


“ 全 内 存 缓存 ， 效 率 高 。Memcached 管 理 内存 的 方式 非常 高 效 ， 即 全 部 的 数据 都 存放 于 Memcached 服 务 事先 分 配 好 的 内 存 中 ， 无 持久 化 存储 的 设计 ， 和 系统 的 物理 内 存 一 样 ， 当 重启 系统 或 Memcached 服 
务 时 ，Memcached 内 存 中 的 数据 就 会 丢失 。 


如 果 希 望 重启 后 ， 数 据 依 然 能 保留 ， 那 么 就 可 以 采用 Redis 这 样 的 持久 性 内 存 缓存 系统 ， 更 多 的 开源 软件 见 http://oldboy.blog.51cto.com/2561410/775056。 


当 内 存 中 缓存 的 数据 容量 达到 服务 启动 时 设 定 的 内 存 值 时 ， 就 会 自动 使 用 LRU 算 法 删除 过 期 的 缓存 数据 。 也 可 以 在 存放 数据 时 对 存储 的 数据 设置 过 期 时 间 ， 这 样 过 期 后 数据 就 自动 被 清 
除 ，Memcached 服 务 本 身 不 会 监控 数据 过 期 ， 而 是 在 访问 的 时 候 查看 key 的 时 间 改 判断 是 否 过 期 。 


“ 可 支持 分 布 式 集群 。 


Memcahced 没 有 像 MySQL 那 样 的 主 从 复制 方式 ， 分 布 式 Memcahced 集 群 的 不 同 服务 器 之 间 是 互 不 通信 的 ， 每 一 个 节点 都 独立 存 取 数 据 ， 并 且 数 据 内 容 也 不 一 样 。 通 过 对 Web 应 用 端的 程序 设计 或 者 
通过 支持 hash 算 法 的 负载 均衡 软件 ， 可 以 让 Memcached 支 持 大 规模 海量 分 布 式 缓存 集群 应 用 。 


下 面 是 利用 Web 端 程序 程序 实现 Memcahced 分 布 式 的 简单 代码 : 


"memcached servers" => array ( 
Ud.4: T1211's 
'10.4.4.5: 11211', 
10.4.4.6: 11211'; 

) 


下 面 使 用 Tengine 反 向 代理 负载 均衡 的 一 致 性 哈 希 算法 实现 分 布 式 Memcahced 的 配置 。 


http { 
upstream test 1{ 
consistent hash $request uri; 
server 127.0.0.1: 11211 1d=1001 weight=3; 
server 127.0.0.1: 11212 id=1002 weight=10; 
server 127.0.0.1: 11213 id=1003 weight=20; 
} 
} 


提示 : Tengine 是 淘宝 网 开源 的 Nginx 的 分 支 ， 上 述 代码 来 自 : 


http://tengine.taobao.org/document_cn/http_upstream _consistent_hash_cn.html, 


13.4 Memcached 内 存 管理 


13.4.1 Memcached 内 存 管理 机 制 深 入 剖析 


1.Malloc 内 存 管理 机 制 


在 讲解 Memcached 内 存 管理 机 制 前 ， 先 来 了 解 malloc。 


malloc 的 全 称 是 memory allocation， 中 文 名 称 动 态 内 存 分 配 ， 当 无 法 知道 内 存 具体 位 置 的 时 候 ， 想 要 绑 定 真正 的 内 存 空间 ， 就 需要 用 到 动态 分 配 内 存 。 


早期 的 Memcached 内 存 管理 是 通过 malloc 分 配 的 内 存 实现 的 ， 使 用 完 后 通过 free 来 回收 内 存 。 这 种 方式 容易 产生 内 存 碎片 并 降低 操作 系统 对 内 存 的 管理 效率 。 因 此 ， 也 会 加 重 操作 系统 内 存 管理 器 的 
负担 ， 最 坏 的 情况 下 ， 会 导致 操作 系统 比 Memcached 进 程 本 身 还 慢 ， 为 了 解决 上 述 问题 ，Slab Allocator 内 存 分 配 机 制 就 证 生 了 。 


2.Slab 内 存 管理 机 制 


现在 的 Memcached 是 利用 Slab Allocation 机 制 来 分 配 和 管理 内 存 的 ， 过 程 如 下 。 


1) 提前 将 大 内 存 分 配 大 小 为 1MB 的 若干 个 slab， 然 后 针对 每 个 slab 再 进行 小 对 象 填充 ， 这 个 小 对 象 称 为 chunk， 避 免 大 量 重 复 的 初始 化 和 清理 ， 减 轻 了 内 存 管 理 器 的 负担 。 


Slab Allocation 内 存 分 配 的 原理 是 按照 预先 规定 的 大 小 ， 将 分 配给 Memcached 服 务 的 内 存 预先 分 割 成 特定 长 度 的 内 存 块 (chunk) ， 再 把 尺寸 相同 的 内 存 块 (chunk) 分 成 组 (chunks slab 
class) ， 这 些 内 存 块 不 会 释放 ， 可 以 重复 利用 (如 图 13-5 所 示 ) 。 


Slab Class: 1 Slab Class: 2 
| Chunks: 


2) 新 增 数据 对 象 存储 时 。 


图 13-5 Slab 和 内 部 的 chunk 图 


因 Memcached 服 务 器 中 保存 着 slab 内 空闲 chunk 的 列表 ， 它 会 根据 该 列表 选择 chunk， 然 后 将 数据 缓存 于 其 中 。 当 有 数据 存 入 时 ，Memcached 根 据 接收 到 的 数据 大 小 ， 选 


择 最 适合 数据 大 小 的 slab ( 见 图 


13-6) 分 配 一 个 能 存 下 这 个 数据 的 最 小 内 存 块 (chunk) 。 例 如 : 有 100 字 节 的 一 个 数据 ， 就 会 被 分 配 存 入 下 面 112 字 节 的 一 个 内 存 块 中 ， 这 样 会 有 12 字 节 被 浪费 ， 这 部 分 空 


间 就 不 能 被 使 用 了 ， 这 也 是 Slab Allocator 机 制 的 一 个 缺点 。 


Slab Classes 


选择 最 恰当 的 组 。” op 112 bytes 
100 bytes 1tem 


184 bytes 


13-6 ”存放 数据 选择 chunk 图 


Slab Allocator 还 可 重复 使 用 已 分 配 的 内 存 ， 即 分 配 到 的 内 存 不 释放 ， 而 是 重复 利用 。 


3.Slab Allocation 的 主要 术语 


主要 术语 说 明 见 表 13-2。 


表 13-2 Slab Allocation 的 主要 术语 说 明 


Slab Allocation 主要 术语 注解 说 明 
slab class 内 存 区 类 别 ( 48byte-1MB ) 
动态 创建 的 实际 内 存 区 ， 即 分 配给 Slab 的 内 存 空 间 ， 默 认 是 1MB。 分 配给 
slab Slab 之 后 根据 slab 的 大 小 切 分 成 chunk。slab 默认 大 小 为 1048576byte ( 1MB )， 
大 于 1MB 的 数据 会 忽略 
slab classid Slab class 的 ID 
chunk 数据 区 块 ， 固 定 大 小 ，chunk 初始 大 小 ，1.4 版 本 中 是 48bytes 
item 实际 存储 在 chunk 中 的 数据 项 
4.Slab 内 存 管理 机 制 特点 


: 提前 分 配 大 内 存 Slab 1MB， 再 进行 小 对 象 填 充 chunk。 
“ 避免 大 量 重复 的 初始 化 和 清理 ， 减 轻 内 存 管理 器 负担 。 
“ 避免 频繁 malloc/free 内 存 分 配 导 致 的 碎片 。 
下 面 对 Mc 的 内 存 管 理 机 制 进行 一 个 小 结 。 
“ Mc 的 早期 内 存 管理 机 制 为 malloc (动态 内 存 分 配 ) 。 


“ malloc (动态 内 存 分 配 ) 产生 内 存 碎片 ， 导 致 操作 系统 性 能 急剧 下 降 。 


: Slab 内 存 分 配 机 制 可 以 解决 内 存 碎片 的 问题 。 


“ Memcached 服 务 的 内 存 预先 分 割 成 特定 长 度 的 内 存 块 ， 称 为 chunk， 用 于 缓存 数据 的 内 存 空间 或 内 存 块 ， 相 当 于 磁盘 的 block， 只 不 过 磁盘 的 每 一 个 block 都 是 相等 的 ， 而 chunk 只 有 在 同一 个 Slab Class 内 
才 是 相等 的 。 


“Slab Class 指 特定 大 小 (1MB) 的 包含 多 个 chunk 的 集合 或 组 ， 一 个 Memcached 包 含 多 个 Slab Class， 每 个 Slab Class 包 含 多 个 相同 大 小 的 chunk。 


“Slab 机 制 也 有 缺点 ， 例 如 ，Chunk 的 空间 会 有 浪费 等 。 


13.5 ”Memcached 服 务 安装 


Memcached 的 安装 比较 简单 ， 支 持 Memcached 的 平台 常见 的 有 Linux、FreeBSD、Solaris、Windows。 这 里 以 Centos 6.6 为 例 进行 讲解 。 
1. 安 装 libevent 及 连接 Memcached 工 具 nc 


系统 安装 环境 如 下 : 


[root@cache01 ~]# cat /etc/redhat-release 
CentOS release 6.6 (Final) 

[root@cache01 ~]# uname -m 

x86 64 

[root@cache01 ~]# uname -r 
2.6.32-504.e16.x86 64 


安装 Memcached 前 需要 先 安装 libevent， 有 关 libevent 的 内 容 在 前 文 已 经 介绍 ， 此 处 用 yum 命 令 安装 libevent。 操 作 命令 如 下 : 


yum install libevent libevent-devel nc -y 
rpm -qa libevent libevent-devel nc 


操作 过 程 如 下 : 


[root@cache01 ~]# rpm -qa libevent libevent-devel nc 
libevent-1.4.13-4.e16.x86 64 

[root@cache01 ~]# yum install libevent libevent-devel nc -y 
[root@cache01 ~]# rpm -qa libevent libevent-devel nc 
libevent-devel-1.4.13-4.e16.x86_ 64 

nc-1.84-24.e16.x86 64 

libevent-1.4.13-4.e16.x86 64 


2. 安 装 Memcached 


操作 命令 如 下 : 


yum install memcached -y 
rpm -qa memcached 


需要 说 明 的 是 ，yum 安 装 的 Memcached 版 本 略 低 ， 但 是 不 影响 使 用 ， 如 果 想 安装 更 高 版 本 的 则 需要 编译 安装 ， 命 令 集合 如 下 : 


wgethttp: // memcached.org/files/memcached-1.4.24.tar.gz 

tar zxf memcached-1.4.24.tar.gz 

cd memcached-1.4.24 

./configure 

make 

make install 

cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 


操作 过 程 如 下 : 


[root@cache01 ~]# yum install memcached -y… 省 略 … 
[root@cache0l1 ~]# rpm -qa memcached 
memcached-1.4.4-3.e16.x86 64 


ia: 
“ 建议 使 用 yum 或 pm 包 方 式 安装 ， 它 简单 、 易 用 。 


“ 形 如 “memcache-2.2.7.tgz” 文 件 名 的 软件 为 客户 端 源 代码 软件 ， 而 形 如 “memcached-1.4.24.tar.gz” 的 文件 为 服务 器 端的 源 代码 软件 。 


13.6 ”Memcached 服 务 的 基本 管理 


13.6.1 启动 Memcached 


启动 Memcached 的 命令 如 下 : 


[root@cache0l1 ~]# which memcached #<== 查 看 Memcached 命 令 路 径 

/usr/bin/memcached 

[root@cache01 ~]# memcached -m 16m -p 11211 -d -u root -c 8192 
#< 一 启动 第 一 个 Memcached 实 例 


现在 来 检查 启动 结果 : 


[root@cache01 ~]# lsof -i : 11211 #<== 查 看 启动 情况 
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 


memcached 7224 root 26u IPv4 70973 Ot0 TCP *: memcache (LISTEN) 
memcached 7224 root 27u IPv6 70974 0t0 TCP *: memcache (LISTEN) 
memcached 7224 root 28u IPv4 70977 0t0 UDP *: memcache 
memcached 7224 root 29u IPv6é 70978 0t0 UDP *: memcache 


[root@cache01 ~]# ps -eflgrep memcached|grep -V grep 
#<== 查 看 Memcached 进 程 


root 7224 1 0 18: 20 00: 00: 00 memcached -m 16m -p 11211 -d -u root -c 8192 


也 可 同时 启动 多 个 Memcached 实 例 ， 例 如 : 再 启动 一 个 11212 实 例 的 命令 如 下 。 


[root@cache01 ~]# memcached -m 16m -p 11212 -d -u root -c 8192 
#<== 启 动 第 二 个 Memcached 实 例 
[root@cache01 ~]# ps -eflgrep memcache|grep -v grep 


root 1405 1 0 20: 55 00: 00: 00 memcached -m 16m -p 11212 -d -u root -c 8192 
root 1415 1 0 20:; 55 00: 00: 00 memcached -m 16m -p 11211 -d -u root -c 8192 


可 把 上 述 两 个 实例 的 启动 命令 放 入 /etc/rc.local， 以 便 下 次 开机 可 以 自 启动 。 


[root@cache01 ~]# tail -2 /etc/rc.local 
/usr/bin/memcached -m 16m -p 11212 -d -u root -c 8192 
/usr/bin/memcached -m 16m -p 11211 -d -u root -c 8192 


13.7 ”安装 Memcached 客 户 端 


本 节 的 内 容 在 第 7 章 已 经 详细 讲解 过 了 ， 为 了 本 章节 的 完整 性 ， 这 里 简略 给 出 。 


1.LNMP PHP 环 境 准备 


这 里 以 PHP 程 序 为 例 ， 即 为 本 书 讲 过 的 LNMP 环 境 安装 Memcache 客 户 端 ， 以 blog 服 务虚 拟 机 为 例 测试 安装 后 的 情况 ， 首 


如 图 13-8 所 示 。 


宕 http/blog.etiantian.org/test info.php 


先 要 在 LNMP 环 境 下 能 出 来 phpinfo 信 息 页 面 ， 只 有 这 样 才能 继续 操作 ， 具 体 


2.Memcached 缓 存 PHP 扩 展 插 件 安装 


图 13-8 LNMP 环 境 phpinfo 界 面 


前 文 已 经 提 过 ，Memcached 分 为 服务 器 端 软件 和 客户 端 插件 两 部 分 ， 本 文 是 Memcached 客 户 端 PHP 的 扩展 插件 (memcache-2.2.7.tgz) 在 PHP 环 境 中 的 安装 ， 用 于 访问 Memcached 服 务 器 端 数 


PHP 的 Memcached 扩 展 插件 下 载 地 址 为 : http://pecl.php.net/package/memcache。 


PHP 的 Memcached 客 户 端 扩 展 插件 安装 命令 集 如 下 : 


cd /home/oldboy/tools/ 

wget -q http: // pecl.php.net/get/memcache-2.2.7.tgz 
tar zxf memcache-2.2.7.tgz 

cd memcache-2.2.7 

/application/php/bin/phpize 


./configure --enable-memcache --with-php-config=/application/php/bin/php-config 


make 


make install 
cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/../ 


如 果 安装 的 是 memcache-2.2.4.tgz， 可 能 会 报 如 下 错误 : 


make: *** [memcache.1lo] Error 1 


解决 方法 为 使 用 如 下 命令 : 


cp memcache.1oT memcache .1o 


整个 操作 过 程 如 下 : 


root@www ~]# cd /home/oldboy/tools/ 

root@www tools]# wget -q http: // pecl.php.net/get/memcache-2.2.7.tgz 
root@www tools]# 1s -1 memcache-2.2.7.tgz 

-rw-r--r-- 1 root root 36459 Mar 30 15: 05 memcache-2.2.7.tgz 
root@www tools]# tar zxf memcache-2.2.7.tgz 

root@www tools]# cd memcache-2.2.7 

root@www memcache-2.2.7]# /application/php/bin/phpize 

Configuring for: 


PHP Api Version: 20090626 
Zend Module Api No: 20090626 
Zend Extension Api No: 220090626 


root@www memcache-2.2.7]# ./configure ~--enable-memcache --with-php-config=/application/php/bin/php-config 

root@www memcache-2.2.7]# make 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/O0EBPS/Text/...skiphttp://www.hzcourse.com/resource/readBook?path=/openresources/tes 
Build complete. 

Don't forget to run 'make test'. 

root@www memcache-2.2.7]# make install 

Installing shared extensions: /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 

root@www memcache-2.2.7]# cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/.. 
root@www tools]# 1s -1 /application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/ 

—rWwxr-xr-x 1 root root 246728 May 1 15: 51 memcache.so 

#<== 最 后 生成 了 memcache .so 模块 就 表示 memcache 扩 展 插件 成 功 安装 


3. 配 置 Memcache 客 户 端 ， 使 其 生效 


修改 PHP 的 配置 文件 php.ini， 加 入 Memcache 客 户 端的 配置 ， 命 令 如 下 。 


[root@www memcache-2.2.7]# cd /application/php/1ib/ 
[root@www lib]# vi php.ini 


把 如 下 两 行内 容 增加 到 php.ini 文 件 结尾 : 


extension dir = "/application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/" 
extension=memcache.so 

[root@www lib]# tail -2 php.ini 
extension dir = "/application/php5.3.27/1ib/php/extensions/no-debug-non-zts-20090626/" 
extension = memcache.so 


提示 : 这 部 分 内 容 在 本 书 第 7 章 已 经 详细 讲解 过 了 ， 此 处 不 再 重复 ! 
4. 重 启 php fpm 服 务 使 PHP 的 配置 修改 生效 


1) 检查 php-fpm 语 法 : 


[root@www lib]# /application/php/sbin/php-fpm -t 
[26-Aug-2015 11: 09: 30] NOTICE: configuration file /application/php5.3.27/etc/php-fpm.conf test is successful 


2) 


启 fpm， 命 令 如 下 : 


[root@www lib]# pkill php-fpm 

[root@www lib]# ps -eflgrep php-fpmlgrep -v grep 

[root@www lib]# /application/php/sbin/php-fpm 

[root@www lib]# ps -eflgrep php-fpmlgrep -v grep 

root 6791 1 0 11: 13 00: 00: 00 php-fpm: master process (/application/php5.3.27/etc/php-fpm.conf) 
nginx S792 和 7 国人 3 00: 00: 00 php-fpm: pool www 


3) 打开 浏览 器 访问 phpinfo 页 面 ， 若 出 现 如 图 13-9 所 示 的 内 容 ， 则 表示 Memcache 客 户 端 安装 成 功 。 
5. 编 写 测试 Memcached 服 务 的 PHP 脚 本 


下 面 为 简单 PHP 程 序 连接 Memcached 测 试 脚本 。 


[root@www blog]# cat -n op_mem.php 


2 Smemcache = new Memcache; 

3 Smemcache->connect ('10.0.6.31', 11211) or die ("Could not connect Mc server") ; 
4 Smemcache->set ('key', 'olqboy book') ; 

5 S$get= $memcache->get ('key') ; 

6 echo S$get; 

7 


图 13-9 Memcache 客 户 端 安装 配置 成 功 


说 明 : 


第 一 行 : PHP 开 始 标识 第 二 行 : 创建 一 个 Memcache 对 象 第 三 行 : 连接 Memcached 服 务 器 第 四 行 : 设置 一 个 变量 到 内 存 中 ， 名 称 是 key 值 是 0ldboy book 第 五 -六 行 : 从 内 存 中 取出 key 值 第 七 行 : PHP 结 束 标识 


测试 结果 如 下 : 


[root@www blog]# /application/php/bin/php op_mem.php 
oldboy book 


出 现 上 面 的 提示 就 表示 LNMP 环 境 连接 Memcached 服 务 成 功 。 


13.8 Memcached 应 用 管理 


13.8.1 ”通过 命令 管理 Memcached 


运 维 人 员 一 般 可 通过 在 命令 行 执行 “telnet ip port” 的 方式 登录 到 Memcached， 然 后 执行 一 些 管理 的 命令 ,除了 telnet 外 ，nc 命 令 也 是 一 个 不 错 的 管理 Memcached 服 务 的 命令 ! 
有 关 “telnet ip port” 命 令 前 文 已 经 介绍 过 了 ， 下 面 将 重点 讲解 通过 nc 管理 及 监控 Memcached 的 一 些 常见 操作 。 

以 下 通过 脚本 模拟 用 户 插入 及 删除 数据 来 监控 Memcached 服 务 是 否 正常 的 示例 。 

(1) Memcached 服 务 是 否 异 常 的 监控 脚本 


脚本 内 容 如 下 : 


[root@cache01 ~]# cat mon mc.sh 
#! /bin/sh 
export MemcachedIp=$1 
export MemcachedPort=$2 
export NcCmd="nc $MemcachedIp $MemcachedPort" 
export MD5=3fe396c01f03425cb5e2da8186eb090d 
USAGE () { 
echo "$0 MemcachedIp MemcachedPort" 
exit 3 


} 
[ $# -ne 2 ] && USAGE 
printf "set $MD5 0 0 6\r\noldboy\r\n"|$NcCmd >/dev/null 2>&1 
if [ $ -eq 0 ]; then 
if [ ‘printf "get $MD5\r\n"|$NcCmd|grep oldboy|wc -1 -eq 1 ]; then 
echo "Memcached status is ok" 
printf "delete $MD5\r\n"|$NcCmd >/dev/null 2>&1 
exit 0 
else 
echo "Memcached status is errorl™ 
exit 2 
£i 
else 
echo "Could not connect Mc server" 
exit 2 
实地 


Memcached 服 务 正常 的 情况 下 ， 测 试 检验 脚本 : 


[root@cache01 ~]# sh mon mc.sh 127.0.0.1 11211 


Memcached status is ok 


然后 关闭 Memcached 服 务 ， 测 试 检验 脚本 : 


[root@cache01 ~]# pkill memcached 
[root@cache01 ~]# lsof -i : 11211 
[root@cache01 ~]# sh mon mc.sh 127.0.0.1 11211 
Could not connect Mc server 


最 后 开启 Memcached 服 务 ， 测 试 检验 脚本 : 


[root@cache01 ~]# memcached -m 16m -p 11211 -d -~u root -c 8192 -P /var/run/1121]1.pid 
[root@cache01 ~]# sh mon mc.sh 127.0.0.1 11211 
Memcached status is ok 


通过 上 面 的 测试 ， 我 们 发 现 使 用 监控 脚本 监控 Memcached 服 务 是 否 异 常 的 运行 是 正确 的 。 


(2) 通过 nc 命令 查看 Memcached 服 务 的 运行 状态 信息 


查看 Memcached 服 务 运行 状态 信息 的 nc 命令 如 下 : 


[root@cache01 ~]# printf "stats\r\n"|nc 127.0.0.1 11211 
STAT pid 28123 

STAT uptime 20063728 

STAT time 1440577412 

STAT version 1.4.4 

STAT libevent 1.4.13-stable 
STAT pointer size 64 

STAT rusage user 645314.961214 
STAT rusage system 1134305.468357 
STAT curr connections 1361 
STAT total connections 18299935 
STAT connection structures 12455 
STAT reserved fds 20 

STAT cmd get 60424570825 

STAT cmd set 854196259 

STAT cmd flush 0 

STAT cmd touch 0 

STAT get hits 58105159197 

STAT get misses 2319411628 
STAT delete misses 258 

STAT delete hits 8803 

STAT incr misses 0 

STAT incr hits 0 

STAT decr misses 0 

STAT decr hits 0 

STAT cas misses 0 

STAT cas hits 0 

STAT cas badval 0 

STAT touch hits 0 

STAT touch misses 0 

STAT auth cmds 0 

STAT auth errors 0 

STAT bytes read 5969739043455 
STAT bytes written 140330591248204 
STAT limit maxbytes 8489271296 
STAT accepting conns 1 

STAT listen disabled num 0 
STAT threads 4 

STAT conn yields 0 

STAT hash power level 25 

STAT hash bytes 268435456 

STAT hash is expanding 0 

STAT malloc fails 0 

STAT bytes 3680105052 

STAT curr items 24628253 

STAT total items 854196259 
STAT expired unfetched 271346565 
STAT evicted unfetched 7503 
STAT evictions 7509 

STAT reclaimed 336538393 

STAT crawler reclaimed 0 

END 


除了 上 述 输出 的 全 部 状态 以 外 ，Memcached 还 支持 通过 以 下 命令 的 输入 来 查看 Memcached 的 部 分 运行 状态 信息 。 目 前 管理 Memcached 的 命令 见 表 13-6。 


表 13-6 Memcached 状 态 命令 的 说 明 


Memcached 状态 命令 说 明 
stats 完 计 Memcached 的 各 种 信息 
stats settings 查看 一 些 memcached 的 设置 信息 ， 例 如 : 
stats slabs 查看 slabs 相关 情况 ， 例 如 : chunksize 长 度 
stats items 查看 items 相关 情况 
stats sizes 查看 items 个 数 和 大 小 
stats Teset 清理 统计 数据 


例如 ， 要 查看 Memcached 的 统计 信息 ， 可 先 执行 “telnet ip 监听 端口 ”命令 ， 登 录 成 功 之 后 执行 stats 命 令 ， 具 体 过 程 如 下 : 


[root@nginx ~]# telnet 10.0.0.17 11211 
Trying 10.0.0.17http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15611/0EBPS/Text/... 
Connected to web181 (10.0.0.17) . Escape character is '^]'. 


stats 

STAT pid 19900 #Memcached 启动 的 进程 id 
STAT uptime 2115676 # 到 目前 为 止 启动 了 多 少 秒 
STAT time 1287937993 

STAT version 1.4.5 #Memcached 的 版 本 信息 


STAT pointer size 64 

STAT rusage user 0.003999 

STAT rusage system 0.001999 

STAT curr connections 10 # 当 前 的 并 发 连接 数 
STAT total connections 16 # 总 的 连接 数 

STAT connection structures 于 

STAT cmd get 1 # 执 行 的 get 命令 的 次 数 


STRAT cmd set 4 # 执 行 的 set 命令 的 次 数 


STAT cmd _ flush 0 # 执 行 flush 命令 的 次 数 
STAT get hits 1 #get 的 命中 数 
STAT get misses 0 #get 的 非 命 中 数 


STAT delete misses 0 
STAT delete hits 0 
STAT incr misses 0 
STAT incr hits 0 

STAT decr misses 0 
STAT decr hits 0 

STAT cas misses 0 

STAT cas hits 0 

STAT cas badval 0 

STAT auth cmds 0 

STAT auth errors 0 
STAT bytes read 157 
STAT bytes written 129 
STAT limit maxbytes 33554432 # 允 许 使 用 的 最 大 内 存 容量 
STAT accepting conns 1 
STAT listen disabled num 0 
STAT threads 4 下 
STAT conn yields 0 
STAT bytes 149 

STAT curr items 2 
STAT total items 2 
STAT evictions 0 

STAT reclaimed 0 

END 


使 用 printf 及 nc 命令 获取 状态 信息 更 佳 ， 因 为 无 需 交 互 ， 可 以 使 用 以 下 脚本 批量 操作 。 


[root@cache01 ~]# printf "stats items\r\n"|nc 127.0.0.1 11211 
STAT items: 1: number 2 


STAT items: 1: age 4439 

STAT items: 1: evicted 0 

STAT items: 1: evicted nonzero 0 
STAT items: 1: evicted time 0 
STAT items: 1: outofmemory 0 
STAT items: 1: tailrepairs 0 
END 


13.9 ”Memcached 服 务 应 用 的 优化 


13.9.1 Memcached 服 务 应 用 优化 案例 


下 面 给 大 家 介绍 一 个 Memcached 服 务 应 用 优化 的 企业 案例 。 用 户 访问 网 站 打开 页 面 很 慢 ， 经 运 维 人 员 排 查 后 ， 发 现 MySQL 数 据 库 负载 很 高 ，load 值 大 概 为 20~30， 如 下 : 


[root@oldboy ~]# uptime 
10; 41: 01 wp 15; 02， 4 users, load average: 20, 15, 10 


登录 数据 库 后 ， 使 用 “show full processlist; ”查看 ， 或 者 在 Linux 命 令 行 使 用 下 面 的 命令 查看 : 


mysql -uroot -p'1111' -~e "show full processlist"|grep -vi sleep 


发 现 数据 库 中 像 “LIKE'% 杜 冷 丁 %” 这 样 的 SQL 语 句 特别 多 ， 导 致 数据 库 负载 很 高 ， 我 们 都 知道 像 LIKE'% 杜 冷 丁 %' 这 样 的 SQL 语 句 对 于 MySQL 数 据 库 来 说 ， 利 用 索引 没有 太 大 的 优化 余地 。 


打开 该 网 站 首页 查看 ， 发 现 该 首页 有 一 个 搜索 框 ， 根 据 前 面 查看 的 SQL 语 句 形式 ， 可 以 推测 上 述 “LIKE'% 杜 冷 丁 %'”” 应 该 是 搜索 框 的 语句 带 来 的 结果 (如 图 13-15 所 示 ) 。 事 后 从 这 个 公司 的 数据 库 维 
护 人 员 处 得 到 了 证 实 ， 请 问 如 果 是 你 ， 你 该 如 何 优化 解决 当前 的 问题 呢 ? 


搜索 
热门 搜索 : 阳春 口服 滚 “” 红 景 天 伊 可 新 “力度 伸 积分 商城 | 


图 13-15 ”网 站 首页 搜索 框 


当时 老 男 孩 给 这 家 公司 的 优化 方案 思路 如 下 : 


1) 看 是 否 可 以 从 业务 上 整改 ， 例 如 ， 只 有 在 用 户 后 登录 后 才 可 以 进行 搜索 ， 通 过 这 种 改进 来 减少 搜索 的 次 数 ， 达 到 减轻 数据 库 服务 压力 的 目的 。 


DN 


如 果 有 大 量 频繁 的 搜索 SQL 语 句 ， 很 有 可 能 是 有 网 络 胞 虫 在 胞 我 们 的 网 站 ， 可 以 通过 分 析 Web 日 志 或 者 网 络 连接 状态 ， 封 掉 这 些 非 正常 的 搜索 请 求 。 


3) 为 主 库 配 置 多 个 从 库 ， 然 后 实现 数据 的 读 写 分 离 ， 让 “LIKE'% 杜 冷 丁 %'” 这 样 的 查询 去 多 个 从 库 查 ， 从 而 减轻 主 库 的 读 写 压 力 。 


4) 在 数据 库 前 端 加 Memcached 缓 存 服务 器 ， 这 个 效果 在 所 有 的 方法 里 是 最 好 的 。 


5) 在 数据 库 里 使 用 “LIKE'% 杜 冷 丁 %” 实 现 搜 索 ， 并 非 明智 的 选择 ， 可 以 通过 Sphinx 等 搜索 服务 实现 用 户 搜索 。 


6) 还 可 以 利用 C、Ruby 等 开发 语言 开发 程序 ， 部 署 计 算 服 务 器 实现 每 日 读数 据 库 计 算 全 量 搜索 索引 ， 然 后 保存 在 提供 搜索 的 Web 服 务 器 上 ， 除 了 设 定 每 日 计算 全 量 搜索 索引 外 ， 可 以 每 分 钟 读 单 独 的 
1~2 个 从 库 做 增 量 计算 索引 。 这 是 大 公司 针对 站 内 搜索 采取 的 基本 解决 方案 之 一 。 


其 中 1) 、2) 、3) 是 短期 的 方案 ,简单 ， 易 实施 。4) 、5) 、6) 是 长 期 的 方案 目标 。 


这 个 案例 的 最 终 问题 是 ， 网 站 前 端 有 了 慌 虫 候 站 ， 通 过 分 析 Web 日 志 获 取 到 肛 站 的 IP， 临 时 封 掉 后 ，MySQL 数 据 库 负 载 立刻 下 降 了 很 多 ， 网 站 服务 恢复 正常 。 


网 


13-16 是 针对 方案 6 给 出 的 大 型 网 站 搜索 集群 架构 逻辑 案例 图 。 


13.10 Memcached 在 集群 中 Session 共享 案例 


13.10.1 Memcached 在 集群 中 的 session 共 享 存储 实战 


以 下 是 PHP Web 环 境 集群 的 session 共 享 存储 设置 。 


默认 php.ini 中 session 的 类 型 和 配置 路 径 为 : 


; Session.save handler = files; session.save path = Rr 


修改 成 如 下 配置 : 


session.save handler = memcache 
session.save path = "tcp: // 10.0.0.19: 11211" 


说 明 : 
"10.0.0.19: 11211 为 Memcached 数 据 库 缓存 的 IP 及 端口 。 
: 上 述 配置 适合 LNMP/LAMP 环 境 。 


* Memcached 服 务 器 也 可 以 是 多 台 ， 并 且 可 通过 hash 算 法 调度 。 


配置 完毕 通过 phpinfo 页 面 查看 效果 如 图 13-23 所 示 。 


tcp:/710.0.0,19:11211 tcp://10.0,0,19:11211 


图 13-23 ”效果 图 


13.11 Memcached 兼 容 持久 化 工具 介绍 


13.11.1 MemcacheDB (key-value) 


Memcached 用 于 数据 库 内 存 缓存 时 存在 一 个 问题 ， 即 进程 退出 时 ， 数 据 全 丢 。 这 样 就 算 缓存 启动 了 ， 内 存 里 也 没有 数据 ， 而 这 会 造成 所 有 用 户 同时 访问 数据 库 ， 从 而 导致 数据 库 撑 不 住 。 要 解决 上 面 
的 问题 ， 可 通过 脚本 或 者 程序 ， 从 数据 库 里 把 数据 读 出 来 存 到 Memcached 缓 存 里 ， 然 后 前 端 才能 开启 对 外 访问 。 


MemcacheDB 是 新 浪 网 基于 Memcached 开 发 的 一 个 开源 项 目 。 通 过 增加 Berkeley DB 的 持久 化 存储 机 制 和 异步 主 辅 复制 机 制 ， 使 Memcached 具 备 了 事务 恢复 能 力 、 持 久 化 能 力 和 分 布 式 复 制 能 力 ， 
非常 适合 需要 超 高 性 能 读 写 速度 、 持 久 化 保存 的 应 用 场景 。 如 果 对 Memcached 有 持久 化 需求 ， 可 以 考虑 使 用 MemcacheDB。 


MemcacheDB 持 久 化 的 缓存 系统 ， 不 但 可 以 像 Memcached 一 样 提供 内 存 缓存 ， 还 可 以 把 内 存 的 数据 放 到 磁盘 。 数 据 量 的 多 少 和 NOSQL 软 件 的 机 制 决定 了 重新 把 数据 加 载 到 内 存 需要 多 久 。 


“ 基于 key/value 对 象 的 高 性 能 读 写 数 据 库 。 
“ 支持 永久 存储 具备 事务 恢复 能 力 。 
“ 支持 主 从 复制 负载 均衡 高 可 用 。 


' 兼容 Memcache 协 议 。 


Memcached 和 MemcacheDB 的 工作 原理 如 图 13-24 所 示 。 


set/add 
/replace 


图 13-24 Memcached 和 MemcacheDB 的 工作 原理 简单 图 解 


MemcacheDB 官 方 网 址 为 : http://memcachedb.org/。 


13.12 ”本 章 重点 回顾 


1) Memcached 在 企业 中 的 应 用 场景 案例 。 

2) Memcached 企 业 中 常见 用 途 读 写 工作 流程 。 
3) Memcached 特 性 与 工作 原理 机 制 。 

4) Memcached 内 存 管理 核心 机 制 。 

5) Memcached 检 测 过 期 与 删除 工作 原理 机 制 。 

6) Memcached 服 务 器 端 安装 与 应 用 实践 。 

7) Memcache 客 户 端 插 件 安装 及 配置 。 

8) Memcached 的 运行 状态 信息 监控 。 

9) Memcached 服 务 应 用 优化 策略 及 案例 。 

10) Memcached 在 集群 后 端 作为 session 共 享 案例 。 


11) 持久 化 工具 Tokyo Tyrant 与 MemcacheDB 介 绍 。 


第 14 章 ”企业 级 监控 Nagios 实 践 


14.1 Nagios 监 控 简介 
生活 中 大 家 应 该 对 监控 已 司空 见 惯 了 ， 例 如 : 餐馆 门 前 的 监控 探头 ， 小 区 里 的 视频 监控 ， 城 市 道路 高 速 监 控 探 头等 ， 这 些 监控 的 目的 大 家 都 清楚 ， 无 须 多 说 。 那 么 ， 企 业 工作 中 为 什么 要 部 署 监控 系统 
呢 ? 


我 们 都 知道 军队 里 ， 哨 兵 的 角色 很 重要 ， 我 们 在 杀 敌 前 ， 基 本 都 要 先 把 敌人 站 岗 的 哨兵 给 解决 了 ， 这 样 敌 人 就 相当 于 眼睛 睹 了 ， 耳 采 玖 了 ， 然 后 再 进攻 就 能 轻松 搞定 这 些 敌人 。 在 互联 网 企业 大 型 网 站 
架构 里 ， 服 务 器 、 业 务 系统 相当 多 ， 可 达 上 万 甚至 十 万 级 别 ， 而 且 还 很 复杂 ， 如 果 没有 监控 系统 这 个 “哨兵 ”， 网 络 业务 出 现 什么 问题 ， 我 们 就 很 难 知晓 ， 因 此 ， 大 型 网 站 中 监控 系统 的 重要 性 就 不 言 而 喻 


监控 系统 需要 监控 的 数据 有 哪些 呢 ? 


、CPU (top、sar) 、 磁 盘 (df-hi) 、 内 存 (free) 、I/O 〇 (iostat) 、Raid 内 磁盘 故障 、CPU 温 度 、passwd 文 件 的 变化 、 本 地 所 有 文件 改动 。 


“ 系统 本 地 资源 : 负载 (uptime) 
“ 网 络 服务 : 端口 、 Web (URL) 、DB、ping 包 、 进 程 、IDC 带 宽 网 络 流量 。 
“ 其 他 设备 : 路 由 器 、 交 换 机 (端口 、 光 衰 、 日 志 ) 、 打 印 机 、Windows 等 。 


“ 业务 数据 : 用 户 登 录 失 败 次 数 ， 用 户 登 录 网 站 次 数 ， 输 入 验证 码 失 败 的 次 数 ， 菜 个 API 接 口 流量 并 发 、 网 络 连 接 数 、IP、PV 数 ， 电 商 网 站 订单 ， 支 付 交 易 的 数量 等 。 


如 何 获取 到 这 么 多 的 数据 呢 ? 


Nagios 监 控 软件 本 身 仅仅 是 一 个 监控 平台 ， 理 论 上 想 监控 的 具体 内 容 只 要 在 服务 器 中 执行 命令 行 就 可 以 获取 ， 并 纳入 Nagios 监 控 体系 里 。 


第 14 章 ”企业 级 监控 Nagios 实 践 


14.1 ” ”Nagios 监控 简介 


生活 中 大 家 应 该 对 监控 已 司空 见 惯 了 ， 例 如 : 餐馆 门 前 的 监控 探头 ， 小 区 里 的 视频 监控 ， 城 市 道路 高 速 监 控 探 头等 ， 这 些 监控 的 目的 大 家 都 清楚 ， 无 须 多 说 。 那 么 ， 企 业 工 作 中 为 什么 要 部 署 监控 系统 


呢 ? 


耳 采 玖 了 ， 然 后 再 进攻 就 能 轻松 搞定 这 些 敌 人 。 在 互联 网 企业 大 型 网 站 


如 果 没 有 监控 系统 这 个 “哨兵 ”， 网 络 业务 出 现 什么 问题 ， 我 们 就 很 难 知晓 ， 因 此 ， 大 型 网 站 中 监控 系统 的 重要 性 就 不 言 而 喻 


我 们 都 知道 军队 里 ， 哨 兵 的 角色 很 重要 ， 我 们 在 杀 敌 前 ， 基 本 都 要 先 把 敌人 站 岗 的 哨兵 给 解决 了 ， 这 样 敌 人 就 相当 于 眼睛 睹 了 ， 


架构 里 ， 服 务 器 、 业 务 系统 相当 多 ， 可 达 上 万 甚至 十 万 级 别 ， 而 且 还 很 复杂 ， 
了 。 


监控 系统 需要 监控 的 数据 有 哪些 呢 ? 
“ 系统 本 地 资源 : 负载 (uptime) 、CPU (top、sar) 、 磁 盘 (dfhi) 、 内 存 (free) 、I/O (iostat) 、Raid 内 磁盘 故障 、CPU 温 度 、passwd 文 件 的 变化 、 本 地 所 有 文件 改动 。 
: 网 络 服务 : 端口 、Web (URL) 、DB、ping 包 、 进 程 、IDC 带 宽 网 络 流量 。 
“ 其 他 设备 : 路 由 器 、 交 换 机 (端口 、 光 衰 、 日 志 ) 、 打 印 机 、Windows 等 。 
“ 业务 数据 : 用 户 登 录 失 败 次 数 ， 用 户 登 录 网 站 次 数 ， 输 入 验证 码 失 败 的 次 数 ， 某 个 API 接 口 流量 并 发 、 网 络 连接 数 、IP、PV 数 ， 电 商 网 站 订单 ， 支 付 交易 的 数量 等 


如 何 获取 到 这 么 多 的 数据 呢 ? 


Nagios 监 控 软件 本 身 仅仅 是 一 个 监控 平台 ， 理 论 上 想 监控 的 具体 内 容 只 要 在 服务 器 中 执行 命令 行 就 可 以 获取 ， 并 纳入 Nagios 监 控 体系 里 。 


14.2 ”Nagios 监 控 工 具 及 原理 介绍 


14.2.1 Nagios 介 绍 


灵活 性 强 。 能 有 效 监控 Windows、Linux 和 UNIX 等 系统 的 主机 各 种 状态 信息 ， 以 及 交换 机 、 路 由 器 等 网 络 设备 和 主机 端口 及 URL 服 务 等 ， 它 
当 故 障 恢复 时 也 会 发 出 对 应 的 恢复 消息 给 管理 员 。 


Nagios 是 一 款 开 源 的 网 络 及 服务 的 监控 工具 ， 其 功能 强大 ， 
会 根据 不 同业 务 故障 级 别 发 出 告警 信息 (邮件 、 微 信 、 短 信 、 语 音 报警 、 飞 信 ) ， 


Nagios 服 务 器 端 可 以 在 Linux 系 统 和 类 UNIX 系 统 上 运行 ， 但 目前 无 法 在 Windows 上 运行 。Windows 可 以 作为 被 监控 的 主机 运行 Nagios 客 户 端 软件 。 
体内 容 ， 理 论 上 只 要 通过 服务 器 命令 就 可 以 获取 并 纳入 Nagios 监 控 体系 里 ， 所 以 ， 可 以 说 Nagios 强 大 到 了 无 所 不 能 的 地 步 。 


Nagios 监 控 软 件 本 身 仅仅 是 一 个 监控 平台 ， 我 们 想 监控 的 


Nagios 官 方 网 站 地 址 为 http://www.nagios.org/。 


14.3 ”Nagios 服 务 器 端 安装 


14.3.1 Nagios 安 装 准备 


1. 准 备 3 台 服 务 器 或 VM 虚 拟 机 


表 14-1 为 Nagios 服 务 器 及 客户 端 服务 器 列表 。 
表 14-1 Nagios 服 务 器 及 客户 端 服务 器 


管理 IP 地 址 备注 
10.0.0.7 Nagios 服务 器 端 
10.0.0.8 | 监控 的 客户 端 服务 器 
10.0.0.9 被 监控 的 客户 端 服务 器 


2. 设 置 yum 安 装 源 


默认 情况 执行 yum 会 从 国外 的 站 点 下 载 ， 速 度 慢 。 因 此 要 换 成 国内 的 提供 yum 源 的 站 点 ， 这 样 安装 软件 时 更 快 。yum 是 一 个 非常 方便 的 RPM 软件 包 安装 命令 ， 一 般 安装 基础 的 软件 都 会 用 到 。 命 令 语法 


为 : yum install 软 件 包 名 或 关键 字 -y。 
具体 安装 方法 如 下 : 先 在 命令 行 执行 ping -c 1 baidu.com 确 保 服务 器 可 以 上 网 ， 然 后 执行 如 下 命令 ! 
cd /etc/yum.repos.d/ 
/bin/mv CentOS-Base.repo CentOS-Base.repo.oldboy.ori 
wget -0 /etc/yum.repos.d/CentOS-Base.repo http: // mirrors.aliyun.com/repo/Centos-6.repo 
以 上 命令 可 批量 执行 ， 需 要 确保 可 以 上 网 。 具 体 配置 的 更 改 内 容 ， 可 以 通过 比较 工具 来 比较 已 配置 好 的 和 原始 的 内 容 ， 从 而 知晓 。 会 配 即 可 ， 细 节 暂 时 可 以 不 用 了 解 太 多 。 
除了 配置 网 络 yum 源 外 ， 还 可 以 配置 光盘 yum 源 等 ， 配 置 网 络 yum 源 的 命令 具体 执行 过 程 如 下 : 
[root@nagios-server ~]# Ping -cl baidu.com #<== 检 查 是 否 可 以 上 网 
PING baidu.com (123.125.114.144) 56 (84) bytes of data. 
64 bytes from 123.125.114.144: icmp seq=1 ttl=46 time=109 ms 
[root@nagios-server ~]# cd /etc/yum.repos.d/ 
[root@nagios-server yum.repos.d]# /bin/mv CentOS-Base.repo CentOS-Base.repo.oldboy.ori  #<== 备 份 
[root@nagios-server yum.repos.d]# wget -q -0 /etc/yum.repos.d/CentOS-Base.repo http: // mirrors.aliyun.com/repo/Centos-6.repo #<== 更 新 为 阿里 云 提供 的 
yum 源 文件 及 地 址 
[root@nagios-server yum.repos.d]# cd ~ 
这 样 yum 安 装 源 就 配 好 了 。 
3. 解 决 Perl 软 件 编译 问题 
在 安装 好 Nagios 监 控 服 务 后 ， 还 要 安装 Perl 插 件 程序 ， 因 此 要 提前 设置 相关 环境 变量 ， 批 量 执行 命令 如 下 : 
echo "export LC ALI=C'>> /etc/profile 
tail -1 /etc/profile 
source /etc/profile 
echo $LC ALL 
cqd ~ 本 
执行 过 程 如 下 : 
[root@nagios-server ~]# echo 'export LC ALI=C'>> /etc/profile 
#< 一 设置 环境 变量 ， 解 决 后 面 Per1 程 序 插件 的 编译 问题 。 符 号 “>>” 表 示 向 文件 追加 内 容 
[root@nagios-server ~]# tail -1 /etc/profile #<== 查 看 是 否 正 确 追 加 了 export LC_ 
ALL=C 环 境 配置 
export LC ALI=C 
[root@nagios-server ~]# source /etc/profile #<== 使 增加 的 环境 变量 配置 生效 
echo $LC ALL 
Ls 
[root@nagios-server ~]# echo $LC_ALL #<== 查 看 设置 变量 结果 
c 
[root@nagios-server ~]# cd ~ 
4. 关 闭 Nagios server 端 防火 墙 及 SELinux 
在 测试 环境 下 为 了 调试 方便 ， 最 好 关 掉 iptables 防 火 墙 及 SELinux， 如 果 是 生产 环境 中 ， 因 为 有 外 部 IP， 所 以 在 调试 完毕 后 需要 开启 防火 墙 。 一 般 允 许 服务 通过 的 方法 是 整个 局 域 网 IP 段 都 通 
过 ，SELinux 是 一 个 可 关 可 开 的 软件 ， 企 业 可 以 根据 需求 选择 ， 大 部 分 企业 还 是 会 选择 关闭 SELinux， 使 用 其 他 保护 措施 ， 因 此 ， 这 里 也 关闭 SELinux。 


关闭 防火 墙 的 命令 集合 如 下 : 


/etc/init.d/iptables stop 
/etc/init.d/iptables status 
chkconfig iptables off 
chkconfig --list iptables 


执行 过 程 如 下 : 


[root@nagios-server ~]# /etc/init.d/iptables stop 

#<== 这 是 关闭 ijptables 的 命令 ， 等 同 于 service iptables stop 

[root@nagios-server ~]# /etc/init.d/iptables status #<== 查 看 ijptables 是 否 关闭 了 

Firewall is stopped. 

#<== 提 示 防 火 墙 已 关闭 

[root@nagios-server ~]# chkconfig iptables off 

#<== 关 闭 文本 模式 下 iptalbles 防 火 墙 的 自 启动 

#<== 提 示 : 测试 环境 下 为 了 调试 方便 而 关 掉 iptables， 生 产 环境 在 调试 完毕 后 需要 开启 防火 墙 ， 允 许 Nagios 服 务 通过 就 可 以 了 ， 不 需要 关闭 
[root@nagios-server ~]# chkconfig --list iptables 

iptables dof Jeolf Boff 3 off, do Off Fr off 6 ofE 


下 面 的 命令 用 于 关闭 SELinux 对 系统 的 控制 (关闭 原因 见 第 3 章 Linux 优 化 部 分 ) 


[root@nagios-server ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 
<== 修 改 配 置 文件 则 永久 生效 ， 但 是 必须 要 重启 系统 

[root@nagios-server ~]# grep SELINUX=disabled /etc/selinux/config 

SELINUX=disabled 

[root@nagios-server ~]# setenforce 0 临时 生效 的 命令 

[root@nagios-server ~]# getenforce <== 查 看 SELinux 当 前 状态 

Permissive 一 会 警告 , 但 不 阻止 。 


8 示 : 处 理 SELinux 问 题 有 三 种 方法 。 


1) 临时 关闭 服务 器 开启 的 SELinux 可 直接 输入 如 下 命 


[root@nagios-server nagios]# setenforce 0 


这 个 命令 输入 后 会 直接 生效 。 


2) 永久 关闭 服务 器 开启 的 SELinux 可 直接 输入 如 下 命令 : 


[root@nagios-server nagios]#sed -i 's#SELINUX=enforcing#SELINUX=disabled#' /etc/selinux/config 


这 个 sed 蔡 换 相当 于 执行 vi/etc/selinux/config 命 令 ， 然 后 修改 SELINUX 项 为 disabled。 
要 使 得 服务 器 的 SELinux 关 闭 的 配置 信息 立刻 生效 ,需要 重启 服务 器 才 可 以 。 


3) 不 关闭 SELinux 的 解决 办 法 如 下 : 


[root@nagios-server nagios]# chcon -R -t httpd sys_content t /usr/local/nagios/sbin/ 
[root@nagios-server nagios]# chcon -R -t httpd sys_content t /usr/local/nagios/share/ 


推荐 你 1、2 同 时 执行 ， 这 样 的 好 处 就 是 当前 生效 了 ， 以 后 重启 服务 时 也 生效 。 有 关 SELinux 的 内 容 本 书 不 涉及 ， 请 参考 相关 文章 。 
5. 解 决 系统 时 间 同 步 问题 


如 果 不 解决 服务 器 的 时 间 同 步 问题 ， 很 可 能 会 导致 Nagios 整 个 服务 配置 异常 甚至 失败 ， 这 个 是 很 多 初学 者 不 太 注意 的 地 方 ，Nagios 一 度 被 称 为 “ 难 够 死 ”， 意 思 是 太 难 配置 了 ， 不 过 跟随 老 男孩 来 实 
相信 你 会 感觉 很 轻松 。 


批量 执行 的 命令 如 下 : 


/usr/sbin/ntpdate pool.ntp.org 

echo '#time sync by oldboy at 2015-06-26'>>/var/spool/cron/root 

echo '*/5 * * * * /usr/sbin/ntpdate pool.ntp.org >/dev/null 2>&1'>>/var/spool/cron/root 
crontab -1 


执行 过 程 如 下 : 


[root@nagios-server ~]# /usr/sbin/ntpdate pool.ntp.org 

26 Jun 21: 26: 08 ntpdate[26368]: adjust time server 202.112.31.197 offset 0.030437 sec 

#<== 让 Nagios serve 的 系统 时 间 和 当前 的 标准 时 间 保 持 一 致 。 庶 拟 机 要 能 上 网 才 行 

[root@nagios-server ~]# echo '#time sync by oldboy at 2015-06-26'>>/var/spool/cron/root 

[root@nagios-server ~]#echo '*/5 * * * * /usr/sbin/ntpdate pool.ntp.org >/dev/null 2>g&1'>>/var/spool/cron/root 

[root@nagios-server ~]# crontab -1 

#time sync by oldboy at 2015-06-26 

*/5 * * * * /usr/sbin/ntpdate pool.ntp.org >/dev/null 2>&1 

#<== 执 行 echo '*/5 * * * * /usr/sbin/ntpdate pool.ntp.org >/dev/null 2>&1'>>/var/spool/cron/root 把 同步 时 间 加 入 定时 任务 队列 ， 可 以 crontab -1 查看 。 有 关 定时 任务 crontab 请 参考 老 男孩 其 他 课程 或 : 


6. 安 装 Nagios 服 务 器 端 所 需 软 件 包 


Nagios 服 务 器 端 需要 有 Web 界 面 展 示 监 控 效 果 ， 界 面 的 展示 主要 使 用 PHP 程 序 ， 因 此 ， 需 要 LAMP 环 境 。 


付 #3J 班 调 : 有 些 网 友 总 想 安装 LNMP 环 境 ， 这 完全 是 自 找 麻烦 ，yum 安 装 的 LAMP 环 境 是 配合 Nagios 服 务 器 端 展示 界面 的 最 佳 环 境 。 


批量 执行 命令 如 下 : 

yum install gcc glibc glibc-common -y #<== 编 译 软 件 升 级 

yum install gd gd-devel -y #<== 用 于 后 面 PNP 出 图 的 包 

yum install mysql-server -y #<== 非 必须 ， 如 果 有 监控 数据 库 ， 那 么 需要 先 安装 
MySQL， 否 则 ，MySQL 的 相关 插件 不 会 被 安装 

yum install httpd php php-gd -y #<==Apache、PHP 环 境 

a: 


1) 通过 yum 工 具 安 装 上 述 所 有 软件 包 ， 且 这 些 环境 一 般 不 需要 在 Nagios 客 户 端 安装 。 
2) 上 述 软件 包装 好 后 的 版 本 为 : Apache2.2.15、PHP5.3.3、MySQL 5.1.73。 


下 面 通过 yum 安 装 所 需 的 基础 软件 包 。 


[root@nagios-server ~]# yum install gcc glibc glibc-common -y #<==GCC compiler 
Loaded plugins: fastestmirror 

Determining fastest mirrors 

addons [581 B 00: 00 

base | 1 1 00: 00 … 省 略 大 部 分 … 
[root@nagios-server ~]#yum install gd gd-devel -y… 省 略 全 部 … 
[root@nagios-server ~]yum install httpd php php-gd -y 

# 此 处 还 是 推荐 使 用 yum install httpd php* -y… 省 略 全 部 … 
[root@nagios-server ~]# rpm -qa mysql httpd php #<== 检 查 LAMP 环 境 的 版 本 
mysql-5.1.73-5.e16 6.x86 64 

httpd-2.2.15-39.el6.centos.x86 _ 64 

Php-5.3.3-40.e16 6.x86 64 


7. 创 建 Nagios 服 务 器 端 需要 的 用 户 及 组 


批量 执行 命令 如 下 : 


/usr/sbin/useradd nagios #<== 这 个 地 方 最 好 创建 家 目录 ， 否 则 ， 启 动 Nagios 会 提醒 没 家 目录 
/usr/sbin/groupadd nagcmd 

/usr/sbin/usermod -a -G nagcmd nagios 

/usr/sbin/usermod -a -G nagcmd apache 

id -n -G nagios 

id -n -G apache 

groups nagios 

groups apache 


执行 过 程 如 下 : 


root@nagios-server ~ 
#<== 添 加 用 户 nagios。 
root@nagios-server ~ 


useradd: user apache 
root@nagios-server ~ 
#<== 添 加 用 户 组 nagcmd 

root@nagios-server ~ 


root@nagios-server ~ 
#<== 把 用 户 apache 加 入 到 ni 
root@nagios-server ~ 


nagios nagcmd 
root@nagios-server ~ 


apache nagcmd 


root@nagios-server ~ 


nagios : nagios nagcmd 


root@nagios-server ~ 


# /usr/sbin/useradd nagios 


# /usr/sbin/useradd apache -M -s /sbin/nologin 


本 添加 用 户 apache， -s /sbin/nologin 表 示 禁 止 其 登录 。 如 果 已 经 存在 apache 用 户 会 有 如 下 提示 
exists (一 般 使 用 yum 安 装 httpd 时 ，Apache 用 户 会 同步 创建 好 。) 


# /usr/sbin/groupadd nagcmd 


# /usr/sbin/usermod -a -G nagcmd nagios 


#<==usermod -a -G 表 示 把 用 户 nagios 加 入 到 nagcmd 组 


# /usr/sbin/usermod -a -G nagcmd apache 


agcmd 组 


# id -n -G nagios #<== 检 查 nagios 用 户 所 属 的 组 -n 等 同 于 -- 
name， 显 示 组 名 


# id -n -G apache #<== 检 查 apache 用 户 所 属 的 组 -n 等 同 于 -- 
name， 显 示 组 名 
# groups nagios 


# groups apache 


apache : apache nagcmd 


# 提 示 : 如 果 使 用 软件 包 编 译 Apche， 默 认 Apache 用 户 为 daemon， 此 时 需 执行 /usr/sbin/usermod -a -G nagcmqd daemon， 也 可 用 groups 加 用 户 名 来 查 ， 比 如 : 


8. 上 传 软 件 包 到 指定 目录 或 通过 URL 下 载 


操作 命令 如 下 : 


[root@nagios-server ~]# mkdir -p /home/oldboy/tools/nagios 

[root@nagios-server ~]# cd /home/oldboy/tools/nagios 

[root@nagios-server nagios]# rz -y 

#<== 本 文选 择 从 本 地 上 传 软件 包 集 合 oldboy_training nagios_ soft.zip,， 输入 rz -y 命 令 ， 然 后 通过 弹出 的 窗口 上 传 软件 包 集 合 oldboy_training nagios soft.zip 


rz waiting to receive. 正 在 开始 zmodem 传输 。 扎 CtrliC 取消 。 正在 传输 oldboy training nagios_soft.ziphttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncon 
100% 6322 KB 6322 KB/s 00: 00: 01 0 错误 


或 者 可 以 自行 去 下 载 后 面 需 要 的 软件 包 : 
地 址 : http://sourceforge.net/projects/nagios/files/ 


https://www.nagios-plugins.org/download/nagios-plugins-1.4.16.tar.gz 


ir5: rz 是 一 个 很 好 的 从 本 地 上 传 文件 的 工具 ，-y 参 数 表示 覆盖 存在 的 文件 ， 可 用 yum install lrzsz-y 命 令 安装 此 工具 。 


为 了 方便 同学 们 学 习 安装 Nagios， 老 男孩 已 搜集 好 相关 软件 包 一 并 打包 提供 给 大 家 ， 内 容 如 下 : 


root@nagios-server tools]# unzip oldboy training nagios soft.zip 


nagios/ 


-- nagios-plugins-1.4 
-- nrpe-2.12.tar.gz 


-- check iostat 

-- check memory.pl 

=-- check mysql 

=— libart 1gpl-2.3.17 
pnp-0.4.14.tar.gz 


-- nagios-3.5.1.tar.gz 
.16.tar.gz 一 Nagios 插 件 包 


root@server tools]# tree nagios/ 


一 Nagios 主 程序 


于 客户 端的 守护 进程 软件 ，agent。 


-- Class-Accessor-0.31.tar.gz < 一 iostat 插 件 需要 它 
= Config- Tiny2.12, tar .gz < 一 iostat 插 件 需要 它 

=-- Math-Calc-Units-1.07.tar.gz < 一 iostat 插 件 需 要 它 
-- Params-Validate-0.91.tar.gz < 一 iostat 插 件 需要 它 
-- Regexp-Common-2010010201.tar.gz < 一 iostat 插 件 需要 它 
-- Nagios-Plugin-0.34.tar.gz < 二 iostat 插 件 需要 它 


< 二 这 就 是 上 面 提 到 iostat 插 件 程序 
一 检测 内 存 的 插件 程序 
一 检测 MySQL 插 件 程序 ， 这 里 可 不 用 


.tar.gz 一 绘图 相关 依赖 库 


一 绘图 的 web 界 面 软件 


=- Trtool-l 214.tar. gz 
0 directories, 15 files 


一 实际 绘图 软件 ， 被 PNP 调 用 


现在 启动 LAMP 环 境 的 HTTP 服 务 : 


[root@nagios-server nagios]# /etc/init.d/httpd start 
Starting httpd: httpd: apr sockaddr info get () failed for nagios-server 
一 可 忽略 或 者 看 后 文 解决 方案 
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName 
[ OK ] 
[root@nagios-server nagios]# /etc/init.d/httpd restart 
Stopping httpd: IL. “OK 1 
Starting httpd: Ll WK 1 
[root@nagios-server nagios]# lsof -i : 80 
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 


一 可 息 略 或 者 看 后 文 解决 方案 


httpd 26666 root 4u IPv6 41346 Ot0 TCP *: http (LISTEN) 
httpd 26668 apache 4u IPv6 41346 0Ot0 TCP *: http (LISTEN) 
httpd 26669 apache 4u IPv6 41346 0t0 TCP *: http (LISTEN) 
httpd 26670 apache 4u IPv6 41346 0t0 TCP *: http (LISTEN) 
httpd 26671 apache 4u IPv6 41346 0t0 TCP *: http (LISTEN) 
httpd 26672 apache 4u IPv6 41346 0Ot0 TCP *: http (LISTEN) 
httpd 26673 apache 4u IPv6 41346 0t0 TCP *: http (LISTEN) 
httpd 26674 apache 4u IPv6 41346 Ot0 TCP *: http (LISTEN) 
httpd 26675 apache 4u IPv6 41346 Ot0 TCP *: http (LISTEN) 


上 面 的 结果 表明 Nagios 服 务 器 端的 LAMP 环 境 是 正常 的 。 下 面 针 对 HTTP 启 动 时 的 提示 进行 说 明 。 


提示 一 : “Starting httpd: httpd: apr_sockaddr info_get () failed for nagios-server”， 表 示 这 是 hosts 解 析 问 题 ， 在 /etc/hosts 中 配 好 主机 名 和 IP 的 解析 就 好 了 ， 配 置 结果 如 下 : 


[root@nagios-server nagios]# grep nagios-server /etc/hosts 
10.0.0.7 nagios-server 


提示 二 : “httpd: Could not reliably determine the server's fully qualified domain name，using 127.0.0.1 for ServerName” ， 这 表示 httpd.conf 中 缺少 ServerName 配 置 ， 可 以 
在 /etc/httpd/conf/httpd.conf 中 加 入 ServerName 127.0.0.1: 80。 


14.4 ”Nagios 客 户 端 安装 


14.4.1 ” Nagios 客户 端 安装 说 明 


Nagios 客 户 端 无 需 安装 LAMP 环 境 ， 即 无 需 执行 下 列 命令 集 : 


yum install gd gd-devel -y 
yum install mysql -y 
yum install httpd php php-gd -y 


也 无 需 安装 Nagios 服 务 器 端 软件 包 ， 即 nagios-3.5.1.tar.gz。 


与 服务 器 端 相 比 ，Nagios 客 户 端 有 一 些 额外 的 软件 包 需 要 安装 ， 如 下 : 


* Class-Accessor-0.31.tar.gz 


* Config-Tiny-2.12.tar.gz 


* Math-Calc-Units-1.07.tar.gz 


* Nagios-Plugin-0.34.tar.gz 


* Params-Validate-0.91.tar.gz 


* Regexp-Common-2010010201.tar.gz 


总 体 来 说 ， 客 户 端 需要 安装 的 命令 如 下 : 


yum install gcc glibc glibc-common -y 
yum install mysql -y 


软件 包 如 下 : 


* nagios-plugins-1.4.16.tar.gz 


“ nrpe-2.12.tar.gz 


* Class-Accessor-0.31.tar.gz 


* Config-Tiny-2.12.tar.gz 


* Math-Calc-Units-1.07.tar.gz 


* Nagios-Plugin-0.34.tar.gz 


* Params-Validate-0.91.tar.gz 


* Regexp-Common-2010010201.tar.gz 


* check_iostat 


* check_memory.pl 


14.5 ”Nagios 服 务 器 端 监控 


14.5.1 ” Nagios 服务 器 端 监控 基础 介绍 


1.Nagios 服 务 器 端 目 


录 结 构 


Nagios 服 务 器 端 安 装 后 的 目录 结构 如 下 : 


[root@nagios-server ~]# 1s -1 /usr/local/nagios/ 


total 32 

Grwxrwxr-x 
Grwxrwxr-x 
Grwxr-xr-x 
Grwxrwxr-x 
Grwxr-xr-x 
Grwxrwxr-x 
Grwxrwxr-x 
Grwxrwxr-x 


nagios nagios 4096 
nagios nagios 4096 
root root ©4096 
nagios nagios 4096 
root root 4096 
nagios nagios 4096 


mw 


Jun 
Jun 
Jun 
Jun 
Jun 
Jun 


2 
2 
2 
27 
27 
27 


1 
Ls 
Ls 
7 
7s 
08: 


48 
48 
34 
48 
34 
59 


bin 

etc 
include 
libexec 
perl 
sbin 


11 nagios nagios 4096 Jun 27 17: 34 share 
5 nagios nagios 4096 Jun 27 21: 44 var 


为 方便 大 家 查看 和 理解 ， 下 面 采 


表格 的 形式 来 说 明 ， 见 表 14-3。 


表 14-3 


Nagios 服 务 器 端 目录 说 明 


目录 名 称 说 ”有明 
bin 下 为 Nagios 相关 命令 
[ root@nagios-server nagios] # tree bin/ 
bin/ 

bin |-- nagios 

|-- nagiostats 
= HPS 
0 directories, 3 files 


etc 下 Nagios 的 配置 文件 及 目录 信息 

[ root@nagios-server nagios]# tree etc/ 

etc/ 

|=- cgi.cfg 

|-- htpasswd.users 

1|-- nagios.cfg #==> nagios 主 配 置 ， 相当 于 httpd.conf/nginx.conf。, 

|-- nrpe.cfg #==> 客户 端的 配置 文件 

|-- objects ==> 相当 于 Apache 的 extra 包含 目录 。 

i | I-- commands .cfg 
l= contactsscofg 
|-- localhost.cfg 


[|-- printer.cfg 


| 

| 

| 

| |-- switch.cfg 
| |-- templates.cfg 

| |-- timeperiods.cfg 
| -= WinNndows,.cfg 

“一 resource.cfg 


1 directory, 13 files 
libexec 为 所 有 插件 的 目录 路 径 


[ root@nagios-server nagios]# tree libexec/ 
libexec/ 
hag l== Check apt 
人 t== check breeze 
|-- check by ssh 
|-- check clamd -> check tcp 


|-- check cluster 


目录 名 称 说 明 


I== check dhcp 
[~ 一 check dig 
1-- check disk 


#sbin 
[ root@nagios-server nagios]# tree sbin/ 
sbin/ 


libexec 


|-- avail .cgi 
1|-- cmd.cgi 
HF- econtig.eyi 
|-= extinfo.cgi 
1-- histogram.cgi 
1-- history.cgi 
[== notificationszcgt 
sbin 
|-- outages.cgi 
|-- showlog.cgi 
|-- status.cgi 
|-- statusmap.cgi 
|-- statuswml .cgi 
|-- statuswrl .cgi 
|-- summary.cgi 
[= 一 tac.cgi 
‘—— trends.cgi 
0 directories, 16 files 


share 为 Nagios 界面 展示 的 PHP 程序 等 内 容 的 目录 
[ root@nagios-server nagios]# tree -L 1 share 
share 
|== config.inc:.php 
1-- contexthelp 
[w= GOCS 
|--~ images 
|-- includes 
share |-- index.php 
[= ocale 
|-- main.php 
1-- media 
== Tobots, tt 
|-- side.php 
[= 一 ssi 
‘-—- stylesheets 
8 directories, 5 files 


( 续 ) 


目录 名 称 
var 为 Nagios 数据 及 日 志 的 目录 

[ root@nagios-server nagios] # tree Var 
Var 

1|-- archives 

|-- nagios.lock 

|-- nagios.]log 


|-- objects.cache 


var |-- retention.dat 
|~- rw 
| 一- nagios.cmd 
|-- spool 
| “一 -~ checkresults 


| “一 一 checkS6D3wR 
~- status.dat 
4 directories, 7 files 


所 有 客户 端 本 地 服务 的 监控 都 是 通过 执行 libexec 目 录 下 的 插件 来 实现 的 ， 当 然 ， 如 果 开 启 了 snmp，Nagios 服 务 器 端 也 可 主动 抓 取 。 


2.Nagios 服 务 器 端 核心 配置 文件 


Nagios 主 配置 文件 为 nagios.cfg， 默 认 在 /usr/local/nagios/etc 目 录 下 ，/usr/local/nagios/etc 目 录 下 有 个 objects (类 似 Apache 的 extra) 目录 ， 里 面 放 的 是 主 配置 文件 nagios.cfg 包 含 的 其 他 Nagios 
配置 文件 。 查 看 命令 如 下 : 


root@nagiosserver etc]# tree 
-- cgi.cfg 
-- nagios .cfg 
-— nrpe.cftg 
=-- objects 
1-- commands.cfg 
1-- contacts.cfg 
|-- localhost.cfg 
|-- printer.cfg 
[= 一 Switoh ,cb 
1-- templates.cfg 
|-- timeperiods.cfg 
`“-- windows.cfg 
`“-- resource.cfg 
root@nagiosserver etc]# tail -10 resource.cfg 


# Sets $USER1$ to be the path to the plugins 
$USER1$=/usr/local/nagios/libexec 

# Sets $USER2$ to be the path to event handlers 
#$USER2$=/usr/local/nagios/libexec/eventhandlers 
# Store some usernames and passwords (hidden from the CGIs) 
#$USER3$=someuser 

#$USER4$=somepassword 

[root@nagios-server nagios]# tree etc/objects/ 
etc/objects/ 

1-- commands.cfg 

|-- contacts.cfg 

|-- localhost.cfg 

[= printerofg 

|-- switch.cfg 

1-- templates.cfg 

|-- timeperiods .cfg 

“-- Windows .cfg 

0 directories, 8 files 


在 nagios.cfg 中 既 可 以 指定 单独 包含 一 个 cfg 文 件 ， 也 可 以 指定 包含 一 个 目录 ， 即 该 目录 下 所 有 的 cfg 文 件 都 会 包含 进来 。 


为 了 让 目录 结构 看 起 来 更 清晰 ， 以 及 批量 部 署 服务 的 需要 ， 我 们 把 主 配置 文件 包含 的 配置 文件 修改 为 表 14-4 所 示 的 形式 。 


表 14-4 Nagios 配 置 文件 说 明 


配置 文件 名 称 说 明 
存放 Nagios 命令 相关 配置 (也 可 指定 commands 目录 )， 这 里 的 命令 不 是 系统 命令 ， 而 是 
把 Nagios 里 定义 的 命令 和 Linux 系统 里 的 插件 命令 相关 联 的 一 个 文件 


services.cfg 存放 具体 被 监控 的 服务 相关 配置 内 容 (上 百 台 以 上 可 指定 services 目录 )( 默 认 不 存在 ) 
hosts.cfg 存放 具体 被 监控 的 主机 相关 配置 内 容 (上 百 台 以 上 可 指定 hosts 目录 )( 默 认 不 存在 ) 
contacts.cfg 存放 报警 联系 人 相关 配置 的 文件 

timeperiods.cfg | 存放 报警 周期 时 间 等 相关 配置 内 容 

templates.cfg “| 模版 配置 文件 ， 模 板 的 存在 是 为 了 方便 地 配置 服务 配置 。 类 似 Shell 里 的 函数 功能 


commands.cfg 


3. 配 置 主 配置 文件 nagios.cfg 


首先 ， 在 nagios.cfg 文 件 中 找到 cfg file 部分， 进行 如 下 设置 : 


[root@nagios-server ~]# vi /usr/local/nagios/etc/nagios.cfg +34 
#< 一 增加 如 下 主机 和 服务 的 配置 文件 
cfg file=/usr/local/nagios/etc/objects/hosts.cfg 
cfg file=/usr/local/nagios/etc/objects/services.cfg 
cfg dir=/usr/local/nagios/etc/objects/services 


# 这 是 为 备用 增加 的 一 个 service 目 录 ， 初 学 者 可 以 忽略 此 行 ， 使 用 目录 的 优点 很 多 ， 在 目录 下 的 文件 只 要 符合 *.cfg 就 可 以 被 Nagios 加 载 。 


使 用 脚本 批量 部 署 时 可 非常 方便 地 随机 命名 配置 文件 


然后 注释 掉 如 下 一 行 : 


# Definitions for monitoring the local 


(Linux) 


#cfg file=/usr/local/nagios/etc/objects/localhost .cf 
#<==Jocalhost .cfg 这 个 配置 为 监控 Nagios 服 务 器 端 本 地 服务 的 配置 文件 ， 注 释 掉 它 ， 然 后 统一 监控 


操作 完毕 ， 保 存 nagios.cfg。 接 着 ， 根 据 已 有 数据 生成 hosts.cfg 了 


机 文件 ， 命 令 集 如 下 : 


cd /usr/local/nagios/etc/objects/ 


head -51 localhost.cfg >hosts.cfg 
chown nagios.nagios /usr/local/nagios/etc/objects/hosts.cfg 


操作 过 程 如 下 : 


[root@nagios-server ~]# cd /usr/local/nagios/etc/objects/ 
[root@nagios-server objects]# head -51 localhost.cfg >hosts.cfg 
[root@nagios-server objects]# chown nagios.nagios /usr/local/nagios/etc/objects/hosts.cfg 


然后 生成 新 的 空 的 services.cfg 服 务 文 件 ， 命 令 集 如 下 : 


touch services.cfg #<== 暂 时 留 空 
Chown -R nagios.nagios services.cfg 


操作 过 程 如 下 : 


[root@nagios-server objects]# touch services.cfg 
[root@nagios-server objects]# chown -R nagios.nagios services.cfg 


最 后 ， 生 成 服务 的 配置 文件 目录 ， 所 有 放 到 此 目录 下 的 配置 (*.cfg) 都 会 自动 被 包含 到 主 配置 文件 中 生效 。 命 令 集 如 下 : 


mkdir services 


chown -R nagios.nagios services 


操作 过 程 如 下 : 


[root@nagios-server 
[root@nagios-server 


Objects]# mkdir services 
objects]# chown -R nagios.nagios services 


现在 ,检查 生成 结果 


[root@nagios-server 
total 56 

1 nagios 
1 nagios 
1 nagios 
1 nagios 
1 nagios 
1 nagios 
1 nagios 
1 nagios 
1 nagios 
1 nagios 
2 nagios 


Grwxr-xr-x 


objects]# 1s 


nagios 
nagios 
nagios 
nagios 
nagios 
nagios 
nagios 
nagios 
nagios 
nagios 
nagios 


10812 
4019 
3208 
3124 
5403 
7716 
3293 
2165 
1870 


lst 


Jun 27 09: 
Jun 27 09: 
Jun 27 09: 
Jun 27 09: 
Jun 27 09: 
Jun 27 09: 
Jun 27 09: 
Jun 27 09: 
Jun 27 21: 


0 Jun 27 21: 


4096 


Mun 27 21: 


01 templates.cfg 
01 windows.cfg 
01 timeperiods.cfg 
01 printer.cfg 
01 localhost.cfg 
01 commands .cfg 
01 switch.cfg 
21 contacts .cfg 
53 hosts.cfg 

54 services .cfg 
55 services 


4.Nagios 监 控 模式 定义 及 监控 模式 选择 


根据 监控 的 行为 ， 将 Nagios 的 监控 分 为 主动 监控 和 被 动 监控 ( 即 nrpe 半 被 动 和 nsca 全 被 动 ) ，nsca 全 被 动 暂 不 详 述 ， 下 面 先 来 看 看 什么 是 主动 监控 和 半 被 动 监控 。 


动 监控 : 把 像 URL 监 控 一 样 由 Nagios 服 务 器 端 发 出 请 求 的 主动 


探测 监控 方式 ， 定 义 为 主动 监控 方式 ， 也 就 是 说 不 需要 在 客户 端 安装 任何 插件 。 当 然 ， 主 动 监控 模式 也 可 以 配置 成 被 动 模式 。 


( 半 ) 被 动 监控 : 由 Nagios 服 务 器 端 通过 nrpe 插 件 定时 去 连接 client 的 nrpe 服 务 获取 信息 ， 并 发 回 到 Nagios 服 务 器 端的 监控 称 之 为 半 被 动 监控 ， 这 类 监控 通常 是 针对 本 地 资源 的 ， 比 如 负载 、 内 存 、 
盘 、 虚 拟 内 存 、 磁 盘 I/O、 温 度 、 风 扁 转 速 等 ， 而 非 系 统 对 外 提供 的 服务 ， 只 要 安装 了 类 似 nrpe 的 播 件 方式 的 监控 ， 都 认为 是 半 被 动 监 控 。 


如 何 选择 主动 监控 模式 和 (9 


1) 对 于 本 地 的 资源 性 能 ， 一 般 


2) 对 于 Web 服 务 、 数 


EE) 被 动 监控 模式 ? 


被 动 监控 模式 (NRPE) 。 


居 库 服务 这 种 能 对 外 提供 服务 的 ， 一 般 用 主动 模式 ， 例 如 : 监控 httpd、sshd、mysqld、rsyncd 等 服务 。 


例如 ， 对 负载 、 内 存 、 硬 盘 、 虚 拟 内 存 、 磁 盘 /O、 温 度 、 风 扇 等 的 监控 (我 们 也 可 以 通过 snmp 实 现 监控 部 分 系统 资源 ) 。 


主动 模式 和 被 动 模式 是 相对 的 ， 并 且 是 可 以 互相 转换 的 ， 即 主动 模式 的 服务 ， 可 以 改 成 被 动 模式 的 ， 被 动 模式 的 服务 有 时 也 可 以 改 为 主动 模式 的 。 


ia: 本 书 下 文 把 nrpe 的 监控 统称 为 被 动 监控 模式 。 


14.6 ”服务 器 端 Nagios 图 形 监控 显示 和 管理 


前 面 搭建 的 Nagios 服 务 虽 然 能 显示 信息 ， 能 报警 


。 但 是 在 企业 工作 中 还 会 需要 


一 个 历史 趋势 


， 跟 踪 每 一 个 业务 的 长 期 趋势 ， 并 且 能 以 


形 的 方式 展示 ， 例 如 : 根据 磁盘 的 剩余 趋势 ， 确 定 是 否 需要 提 


前 购买 磁盘 。 


14.7 ”实现 将 Nagios 故 障 报警 给 管理 员 


要 将 Nagios 故 障 报警 给 管理 员 时 ， 常 用 的 方式 包括 邮件 报警 和 手机 报警 ， 下 面 分 别 介绍 。 


1. 邮 件 报警 


普通 邮件 报警 就 是 在 故障 发 生 或 恢复 时 ， 将 报警 信息 发 到 系统 管理 员 或 相关 维护 人 员 的 信箱 中 ， 一 般 来 说 最 好 使 用 公司 内 部 信箱 作为 报警 信箱 。 读 者 线 下 学 习 测 试 时 如 果 用 QQ、126 等 信箱 可 能 会 有 收 
不 到 邮件 的 情况 或 者 被 当做 垃圾 邮件 了 ， 可 以 采用 第 三 方 SMTP 服 务 测试 ， 其 测试 报警 的 效果 会 好 很 多 ， 前 文 已 经 讲 过 ,不 再 歼 述 。 


一 般 白 天 上 班 时 ， 邮 件 报警 还 算 比较 及 时 ， 但 是 如 果 人 不 在 计算 机 旁 〈 开 会、 休息 时 ) ， 邮 件 报警 就 不 行 了 ， 因 此 ， 邮 件 报警 只 适合 不 是 特别 重要 的 业务 ， 或 者 作为 发 送 大 量 报警 信息 中 的 一 个 辅助 方 
式 ， 如 硬盘 、 内 存 、 及 日 志 相关 等 不 需要 及 时 解决 的 服务 报警 。 故 而 ， 在 生产 环境 中 ， 邮 件 报警 一 般 会 结合 其 他 报警 方式 一 起 使 用 。 


那么 ， 下 面 就 来 看 一 下 邮件 报警 的 基本 配置 方法 。 


首先 ， 添 加 监控 报警 的 接收 Email 地 址 。 


[root@nagios-server nagios]# vi /usr/local/nagios/etc/objects/contacts.cfg +35 修改 如 下 行 : 

email nagios@localhost 改 为 : 

email 31333741@qq.com 

#2 .快速 修改 方法 : sed -i 's#nagios@localhost#31333741@qq.com#' /usr/local/nagios/etc/objects/contacts.cfg 保 存 ， 退 出 。 


实现 发 邮件 功能 常见 有 两 种 方案 。 


第 一 种 方案 : 依赖 本 机 的 sendmail 或 postfix 服 务 ， 可 执行 /etc/init.d/postfix start 开 启 。 


[root@nagios-server ~]# /etc/init.d/postfix restart 

Shutting down postfix: [ OK 

Starting postfix: [ OK 
[root@nagios-server ~]# lsof -i : 25 

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 

master 1399 root 12u IPv4 10507 0t0 TCP localhost: smtp (LISTEN) 
master 1399 root 13u IPv6 10509 Ot0 TCP localhost: smtp (LISTEN) 


如 果 postfix 启 动 比较 慢 ， 可 以 修改 /etc/hosts， 如 下 : 


[root@nagios-server ~]# cat /etc/hosts 
i2730.0:1 localhost localhost.localdomain localhost4 localhost4.localdomain4: : 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 
10.0.0.7 nagios-server #<== 增 加 主机 名 和 IP 的 解析 


第 二 种 方案 : 使 用 第 三 方 的 smtp 服 务 (网 易 、QQ 等 ) ， 即 在 网 易 等 注册 好 邮箱 ， 然 后 通过 SMTP 服 务 发 送 邮件 。 


在 command.cfg 里 ，Nagios 默 认 的 报警 配置 信息 如 下 : 


[root@nagios-server ~]# cd /usr/local/nagios/etc/objects/ 
[root@nagios-server objects]# sed -n '27, 37p' commands.cfg 


# 'notify-host-by-email' command definition ##< 主机 报效 的 命令 配置 
define command{ 
command name notify-host-by-email 
command line /usr/bin/printf "%b" "*****x Nagios *****\n\nNotification Type: S$NOTIFICATIONTYPE$\nHost: S$HOSTNAME$\nState: S$HOSTSTATE$\nAddress: S$HOSTADDRESSS$ 
下 mail 命 令 发 送 的 命令 


} 
# 'notify-service-by-email' command definition 
define command{ 
command name notify-service-by-email #<== 服 务 报警 的 命令 配置 
command line /usr/bin/printf "sb" "**xxx Nagios *****\n\nNotification Type: S$NOTIFICATIONTYPE$\n\nService: S$SERVICEDESC$\nHost: S$HOSTALIAS$\nAddress: S$HOSTA 


#<== 这 里 是 具体 的 调用 1inux 下 mail 命 令 发 送 的 命令 
} 


上 述 notify-host-by-email 和 notify-service-by-email 在 templates.cfg 的 联系 人 模板 下 默认 已 配置 (如 果 还 需要 配置 短信 、 飞 信 、 微 信 等 需要 在 后 面 追 加 命令 ) 。 


[root@nagios-server objects]# sed -n '28, 37p' templates.cfglsed -r 's# (.*) ; .*$#\1#g' 
define contact{ 


name generic-contact 

service notification period 24x7 

host notification period 24x7 

service notification |_ options Wy gs 

host notification options + es 

service notification commands notify-service-by-email 
host notification commands notify-host-by-email 
register 0 


} 


只 要 报警 联系 人 使 用 了 generic-contact 作 为 配置 模板 (这 也 是 默认 的 配置 ) ， 那 么 就 可 以 进行 主机 和 服务 报警 了 。 


由 于 报警 信息 不 仅仅 是 要 通过 邮件 发 送 ， 可 能 还 涉及 短信 ， 而 短信 一 般 都 有 字符 数 限制 (70 字 以 内 ) ， 因 此 在 默认 的 报警 内 容 比 较 多 的 情况 下 ， 要 优化 报警 的 内 容 ， 只 报关 键 的 信息 ， 详 细 的 信息 让 其 
查看 邮件 正文 。 调 整 如 下 : 


# 'notify-host-by-email' command definition 
define command{ 
command name notify-host-by-email 
command line /usr/bin/printf “%b" "***** Nagios *****\n\nNotification Type: 
S$NOTIFICATIONTYPES$ \nHost: S$HOSTNAME$\nState: 
$HOSTSTATE$ \nAddress:  $HOSTADDRESS$\nInfo: 
$HOSTOUTPUT$ \n\nDate/Time: S$LONGDATETIME$\n" | /bin/mail -s"Host $HOSTSTATES$ alert for $HOSTNAMES! " 
$CONTACTEMAILS 
} 


经 过 上 述 修改 后 ， 报 警 邮件 的 标题 就 简化 了 ， 例 如 : 某 主 机 的 报警 “Host DOWN alert for idc-11-200”， 意 思 是 idc-11-200 主 机 宕 机 了 ， 清 晰 明了 。 


# 'notify-service-by-email' command definition 
define command{ 
command name notify-service-by-email 


/usr/bin/printf “%b" "***** Nagios *****\n\nNotification Type: 
S$NOTIFICATIONTYPE$ \n\nService: S$SERVICEDESC$\nHost: S$HOSTALIAS$\nAddress: S$HOSTADDRESS$\nstate 
$SERVICESTATE$ \n\nDate/Time: S$LONGDATETIME$\n\nAdditional Info: \n\n$SERVICEOUTPUT$" | /bin/mail -s 
"$HOSTALIAS$/$SERVICEDESCS$ is SSERVICESTRATES " $CONTACTEMAILS 


command line 


Tn 


故障 了 。 


同样 ， 若 服务 报警 的 邮件 标题 为 “10-web01/80_url is CRITICAL”， 则 意思 是 10-web01 主 机 80_url 有 严重 


手机 短信 报警 可 采用 139、126、189 等 信箱 ， 或 者 飞信 、SMS 网 关 。 一 般 用 于 紧急 的 业务 报警 。 


“ 飞信 报警 : 装 个 飞信 客户 端 ， 把 对 方 手机 加 为 好 友 (需要 对 方 确认 ) ， 然 后 就 可 以 给 对 方 发 短信 了 。 
“ 邮件 转 短信 报警 : 实现 信箱 邮件 通知 手机 的 一 个 功能 。 
“ http 短 信 网 关 : 此 为 收费 项 目 。 


购买 后 的 http 短 信 网 关 地 址 类 似 如 下 : 


http: // s.ccme.cc/qxt/send.jspcircle=oldboy&pwd=oldboyl123&mobile=$CONTACT&service=abcd546-eee6-gg69-gg40-39g0524c1f88dg&msgid=23224&message=$TITLE[${alert date} sal] 


图 14-29 就 是 短信 猫 设备 。 


“ 购买 短信 猫 : 这 是 类 似 手 机 终端 一 样 的 客户 端 硬件 设备 ， 监 控 服 务 器 调用 短信 猫 实现 发 短信 报警 ， 


图 14-29 ”短信 猫 设 备 


方式 ， 有 专门 的 公司 提供 直接 发 送信 息 到 手机 的 短信 网 关 ， 常 用 的 报警 命令 就 是 一 个 URL 地 址 携带 传 参 信息 的 形式 ， 报 警 


经 过 多 年 的 实践 ， 对 Nagios 报 警 的 使 用 ， 老 男孩 推荐 采用 HTTP 短 信 网 关 接 | 
执行 的 命令 展示 如 下 。 


curl -d cdkey=3ADK-DFY-3430-MADQK -d password=52324235 -d phone=$CONTACT -d message="$TITLE[${ALERT DATE} oldboy]" http: // sdkhttp.eucp.b2m.cn/sdkproxy/sendsms .action 


这 里 的 curl-d 用 于 把 参数 传 给 后 面 的 URL，URL 是 花 钱 购买 的 短信 发 送 接口 。 


在 赋予 执行 权限 后 ， 手 工 执 行 “/usr/local/nagios/libexec/sms_send 内 容 加 手机 号 ”来 进行 测试 。 


推荐 原因 : 


1) 收费 合理 ， 报 警 比 较 及 时 ， 服 务 有 保证 。 


2) 设置 简单 ， 一 个 简单 脚本 搞定 。 


部 分 公司 为 了 省 钱 ， 使 用 139 和 飞信 、 微 信 等 短信 报警 方式 ， 老 男孩 认为 除非 业务 宕 机 确实 没关系 ， 最 好 还 是 不 要 采用 这 种 方式 。 适 当 的 花费 ， 很 好 的 解决 报警 问题 才 是 最 好 的 运 维 策略 ， 不 花 钱 的 报 
服务 上 和 收费 的 相 比 还 是 差距 不 小 的 ， 作 为 辅助 方式 可 以 。 下 面 针 对 HTTP 短 信 网 关 的 报警 进行 介绍 。 


在 购买 短信 服务 后 ， 除 了 有 界面 可 以 发 送 报警 (一 般 市 场 人 员 用 ) 外 ， 还 会 有 一 个 URL 地 址 ， 地 址 后 面 携带 账号 、 密 码 、 及 报警 信息 。URL 地 址 如 下 面 的 形式 : 


http: // s.ccme.cc/qxt/send.jspcircle=oldboy&pwd=oldboyl123& 
mobile=$CONTACT&service=abcd546-eee6-gg69-g940-3g90524c1lf88dgmsgid=23224&message=$TITLE[${alert date} sal 


在 这 个 地 址 中 的 信息 如 表 14-6 所 示 。 


表 14-6 ”HTTP 短信 网 关 携 带 的 信息 列表 


用 户 名 目标 手机 消息 内 容 


oldboy oldboy123 SCONTACT， 脚 本 变量 STITLE[S {alert_date}sa] 消息 变量 及 时 间 变 量 


实际 发 送 命令 演示 如 下 : 


#curl 方 式 
curl -d cdkey=3RTY-EMY-0980-MTUQ2 -d password=189162 -d phone=$CONTACT -d message="$TITLE[${alert date} oldboysa]" http: // sdkhttp.eucp.b2m.cn/sdkproxy/sendsms.action 
#wget --quiet "http: // s.ccme.cc/qxt/send.jspcircle=159net 131&pwd=oldooy123&mobile=18911718229&service=f1fb0546-ebb6-0987-8f20-560524c1lf88d&msgid=3956724&message=$TITLE[${ale 


下 面 介绍 一 下 实现 短信 网 关 设 备 报警 的 细节 。 首 先 ， 开 发 报警 脚本 sms_send 放 在 libexec 目 录 下 面 ， 授 权 755。 


[root@nagios-server ~]# cd /usr/local/nagios/libexec/ 
[root@nagios-server libexec]# cat -n sms_send 

1#! /bin/sh 

2PROGNAME= basename SO0 

3PROGPATH=“ dirname $0、 

4print usage () { 

5 echo "Usage: /bin/sh S$PROGNAME title contact" 

6 exit 1 

71} 

8if [ $# -ne 2 ]; then 

9 print usage 


10fi 

llalert date=$ (date +%y-%m-%d' : $M) 
12TITLE=$1 #<: 主题 ， 即 短信 内 容 
13CONTACT=$2 #<== 发 送 地址 ， 手 机 号 


14#FORMAT "Host $HOSTSTATES$ alert for $HOSTNAMES™ 
1l5curl -d cdkey=3RTY-EMY-0980-MTUQ2 -d password=189162 -qd phone=$CONTACT -d message="$TITLE[${alert date} oldboysa]" http: // sdkhttp.eucp.b2m.cn/sdkproxy/sendsms.action 
[root@nagios-server libexec]# chmod +x sms_send 


然后 在 command.cfg 中 定义 报警 脚本 。 


#command. cfg 

# 'notify-host-by-pager' command definition 

define command{ 
command name notify-host-by-pager 
command line $USER1$/sms_send "Host $HOSTSTATES$ alert for $HOSTNAMES$" $CONTACTPAGERS 
#$USER15/sms_send 就 是 调用 上 面 /Usr/local/nagios/1libexec/sms_send 脚 本 
#"Host $HOSTSTATE$ alert for $HOSTNAMFE$" 是 主机 报警 标题 ， 即 短信 内 容 
#$CONTACTPAGER$ 是 报警 联系 人 ， 即 手机 号 
} 

# 'notify-service-by-pager' command definition 

define command{ 
command name notify-service-by-pager 
command line $USER1$/sms_send "$HOSTALIAS$/$SERVICEDESC$ is $SERVICESTATES$" $CONTACTPAGERS$ 
#$USER1$/sms_send 就 是 调用 上 面 /usr/local/nagios/1libexec/sms_send 脚 本 
#"$SHOSTALIAS5/$SSERVICEDESC$ is $SSERVICESTATE$" 是 服务 报警 标题 ， 即 短信 内 容 
#$CONTACTPAGER$ 是 报警 联系 人 ， 即 手机 号 
} 


接着 在 模板 templates.cfg 中 增加 如 下 配置 ， 即 在 command.cfg 中 定义 报警 脚本 里 短信 报警 的 命令 名 ， 编 辑 templates.cfg 里 的 定义 内 容 为 : 


define contact{ 


name generic-contact 

service notification period 24x7 

host_ notification period 24x7 

service notification options ee 

host notification options i 

service notification commands notify-service-by-email, notify-service-by-pager 
host notification commands notify-host-by-email, notify-service-by-pager 
register 0 


最 后 在 联系 人 contact.cfg 里 做 如 下 联系 人 定义 。 


define contact{ 


contact_ name oldboy-pager 
use generic-contact 
alias Nagios users 
pager L8911111111 

} 

define contactgroupt{ 
contactgroup name admins 
alias i Nagios Administrators 
members nagiosadmin, oldboy-pager 


} 


这 样 就 可 以 实现 通过 HTTP 短 信和 网关 报警 了 。 


14.8 ”Nagios 插 件 开发 


14.8.1 述 


服务 ， 是 Nagios 未 自 带 插件 的 ， 如 : 
索 ， 看 看 有 没有 别人 写 过 的 脚本 ， 拿 来 使 


1. 什 么 是 Nagios 插 件 


前 文 在 部 署 Nagios 服 务 时 已 安装 了 nagios-plugins-1.4.16.tar.gz， 


[root@nagios-server ~]# ls -1 /usr/local/nagios/libexec/|egrep "nrpeltcplhttpldisk|swapl|load" 
lrwxrwxrwx 1 root root 9 Jun 1 08: 16 check clamd -> check tcp 
—rwxr-xr-x 1 nagios nagios 118205 Jun 1 08: 16 check disk 

~—rwxr-xr-x 1 nagios nagios 8163 Jun 1 08: 16 check disk smb 

lrwxrwxrwx 1 root root 9 Jun 1 08: 16 check ftp -> check tcp 
—rwxr-xr-x 1 nagios nagios 190806 Jun 1 08: 16 check _ http 

lrwxrwxrwx 1 root root 9 Jun 1 08: 16 check imap -> check tcp 
lrwxrwxrwx 1 root root 9 Jun 1 08: 16 check ‘jabber -> check .tcp 
—rwxr-xr-x 1 nagios nagios 73784 Jun 1 08: 16 check load 

-rwWwxrwxr-x 1 nagios nagios 62381 Jun 1 08: 24 check nrpe 

—rwxr-xr-x 1 nagios nagios 78020 Jun 1 08: 16 check swap 

—rwxr-xr-x 1 nagios nagios 105775 Jun 1 08: 16 check tcp 

lrwxrwxrwx 1 root root 9 Jun 1 08: 16 check udp -> check tcp 


http://www.hzcourse. 


@ 提 示 : 默认 安装 后 大 概 有 60 个 左右 的 插件 ， 数 量 比较 多 ， 这 里 只 介绍 几 个 


以 上 结果 内 容 都 是 Nagios 的 插件 ， 现 在 大 家 应 该 对 Nagios 插 件 有 一 个 基本 的 了 解 了 。 


插件 或 程序 文件 才能 完成 任务 ， 


2. 为 什么 要 开发 Nagios 插 件 


既然 已 经 安装 了 Nagios 的 插件 软件 包 ， 为 什么 还 要 开发 Nagios 揪 件 呢 ? 


首先 想 说 明 的 是 ， 在 生产 场景 中 常用 的 大 
监控 LVS RS 的 lo 网 


卡 的 VIP，! 


com/resource/readBook?path=/openresources/teach : 


因此 ， 如 果 没有 Nagios 插 件 ，Nagios 就 是 一 个 空 壳 ， 


监控 Nfs 的 状态 ， 又 或 者 监控 jostat、mem、sar 系 统 指标 及 相关 APP 应 上 


‘ebook/uncompressed/15611/0EBPS/Text/... 


常见 的 。 


其 实 ，Nagios 软 件 本 身 仅 仅 是 一 个 监控 的 平台 ， 如 果 要 监控 


这 个 软件 包 就 是 Nagios 的 插件 安装 包 ， 安 装 后 ， 执 行 Is-VusrVlocalyVnagios/libexec 可 以 看 到 如 下 插件 内 容 : 


省 略 部 分 http://www.hzcourse.com/resource/readBook?path=/openresources/ 


体 的 主机 及 服务 的 状态 和 数据 信息 ， 还 必须 配置 或 


从 都 做 不 了 。 


部 分 服务 都 是 不 需要 编写 插件 就 可 以 完成 监控 的 ，check_http、check_tcp、check_nrpe 等 这 些 自 带 的 插件 已 经 很 强大 了 。 但 是 ， 仍 然 有 部 分 我 们 想 要 监控 的 


或 修改 后 使 


如 果 要 开发 插件 ， 最 好 掌握 一 门 开 发 语言 ， 例 如 : Shell、 


14.9 ”常见 故障 问题 总 结 


分 
~ 


“command[check_passwd]=/usr/local/nagios/libexec/check_passwd” 


间 题 1: PNP 出 现 PHP GD Support no found 错 误 。 


描述 : 浏览 器 输入 http://10.0.0.7/nagios/pnp/index.php 打 开 页 面 提 示 如 下 : 


原因 及 解决 办 法 : php-gd 模 块 没 装 ， 执 行 yum install php-gd-y 安 装 即 可 。 


间 题 2: 出 现 报 错 信 息 “NRPE: Unable to read output”。 


描述 : Nagios 界 面 报 “NRPE: Unable to read output” 错 误 。 


原因 及 解决 : 这 是 


问题 3: 出 现 报错 信息 “NRPE: Command'check_passwd'not defined” 


原因 


例如 : 服务 器 端的 配置 为 “check_ command check_nrpe! check_passwd” ， 


14.10 ”本 章 重点 回顾 


Nagios 监 控 系 统 家 族 成 员 功能 介绍 

Nagios 监 控 系 统 完整 框架 图 解说 明 。 

Nagios 服 务 器 端 及 客户 端 安装 、 配 置 细节 。 
Nagios 服 务 器 端 核心 配置 文件 之 间 的 关系 原理 。 
Nagios 利 用 check_nrpe 插 件 进行 监控 的 原理 及 排 错案 例 。 
Nagios 图 形 监控 显示 和 数据 管理 。 


Nagios 报 警方 式 选择 及 报警 实施 细节 。 


oo 


Nagios 自 定义 插件 开发 原理 及 开发 实践 。 


9 


Nagios 插 件 主动 和 被 动 方式 工作 原理 及 实施 部 署 细节 。 


第 15 章 


;另外 就 是 自己 开发 编写 脚本 。 这 里 建议 大 家 学 会 手工 编写 插件 ， 如 果 开始 不 会 写 ， 可 以 把 网 上 别人 


“PHP GD Support no found 


为 客户 端 对 应 插件 命令 不 存在 或 者 无 执行 权限 等 原因 导致 的 。 


: 这 个 错误 提示 ， 可 能 是 因为 服务 器 端的 服务 里 配置 的 命令 名 与 客户 端的 nrpe.cfg 里 配置 的 命令 名 不 匹配 导致 的 。 


其 中 的 check_passwd 部 分 与 客户 端 nrpe.cfg 里 的 命 


里 的 check_passwd 不 匹配 。 


企业 级 网 站 集群 搭建 综合 解决 方案 


(MQ 队列 ) 等 。 


这 个 时 候 我 们 有 两 个 选择 ， 一 个 是 去 网 上 搜 
》 享 的 插件 拿 来 改 ， 改 着 改 着 就 会 写 了 。 


Python， 这 部 分 开发 内 容 需 要 读者 自行 学 习 ， 或 者 参加 老 男 孩 者 师 开 办 的 培训 班 学 习 获得 。 


本 章 是 全 书 的 最 后 一 章 ， 主 要 是 综合 前 面 所 有 的 章节 ， 把 Linux Web 集 群 运 维 技术 由 点 穿 成 线 ， 由 线 组 成 面 ， 


际 需求 出 发 ， 以 企业 生产 实战 标准 为 准绳 ， 从 分 析 企 业 网 站 需求 开始 ， 到 硬件 选择 、IP 地 址 规划 、 主 机 名 规划 ， 再 到 部 署 


最 终 为 


户 呈 现 一 个 企业 级 中 小 规模 网 站 集群 的 架构 解决 方案 全 狐 。 整 套 架 构 从 企业 的 实 


民 务 的 目录 结构 规划 等 ， 并 对 每 一 个 集群 节点 要 部 署 的 应 用 做 了 细致 的 设计 (甚至 


画 了 逻辑 图 ) ， 以 使 读者 对 企 


上 生产 场景 的 集群 全 角 有 了 一 个 深入 的 了 解 ， 确 保 能 够 根据 所 学 独立 实现 整个 集群 架构 的 搭建 。 


那么 ， 完 成 企业 中 小 型 网 站 集群 有 什么 意义 呢 ? 

“ 可 以 检验 自己 学 习 本 书 前 14 章 的 效果 。 

“ 把 学 习 的 Linux 运 维 技术 由 点 穿 成 线 ， 由 线 组 成 面 。 

“ 可 以 深入 了 解 未 来 运 维 工作 的 实际 场景 和 岗位 技术 方向 。 


“ 可 了 解 并 掌握 互联 网 中 型 企业 的 网 站 集群 架构 细节 。 


此 外 ， 如 果 你 在 做 集群 架构 时 遇 到 问题 ， 请 加 入 开篇 提供 的 交流 群 进行 交流 ， 老 男孩 老师 也 会 在 其 中 答疑 。 


15.1 企业 级 中 小 规模 网 站 集群 项 目 规划 


为 什么 本 章 要 重点 讲解 企业 级 中 小 规模 网 站 集群 架构 而 不 是 大 规模 门户 网 站 呢 ? 


因为 第 一 ， 国 内 99% 的 企业 网 站 都 是 中 小 规模 的 ， 例 如 大 家 熟知 的 51CTO、CSDN 等 网 络 平台 都 是 中 小 规模 网 站 集群 ， 


且 一 般 成 立 1~2 年 的 公司 网 站 其 规模 大 多 都 还 是 比较 小 的 。 第 二 ， 中 小 规模 集群 技术 容易 落地 、 实 用 ， 对 新 手 来 讲 摸 得 着 看 得 见 ， 学 会 了 就 直接 上 手 用 于 企业 工作 中 ， 算 是 最 直接 最 有 效 的 雪中送炭 型 帮 
助 。 第 三 ， 所 有 的 大 规模 网 站 集群 都 是 从 中 小 规模 集群 扩展 起 来 的 ， 整 个 核心 还 是 中 小 规模 的 架构 框架 ， 就 像 成 人 一 样 ， 不 管 是 身高 2.26 米 的 球星 姚明 ， 还 是 身高 1.75 米 的 老 男孩 ， 人 体 的 骨架 核心 都 是 一 


样 的 。 


15.2 ”集群 服务 搭建 详细 规划 设计 说 明 


15.2.1 集群 服务 搭建 最 佳 部 署 顺 序 


根据 老 男 孩 的 经 验 ， 整 个 集群 架构 的 部 署 最 好 从 后 往 前 进行 ， 即 从 集群 的 后 端 备份 、 存 储 、 数 据 库 开 始 部 署 ， 部 署 的 最 佳 顺序 见 表 15-10。 


表 15-10 网 站 集群 服务 最 佳 部 署 顺序 


安装 最 佳 排序 服务 器 
01 跳板 机 管理 服务 (自动 化 安装 先 装 ， 非 自动 化 无 所 谓 ) 
02 监控 及 批量 管理 服务 (批量 安装 ， 加 入 监控 ) 
03 rsync 存储 及 备份 服务 
04 NFS 存储 服务 
05 MySQL 主 数据 库 
06 MySQL 主 热 备 数据 库 
07 MySQL 从 数据 库 
08 Neginx web01 
09 Neginx web02 
10 反问 代理 服务 01 
11 反问 代理 服务 02 


侠 说 明 : 本章 不 会 带领 起 者 从 0 开始 搭建 整个 集群 架构 ， 因 为 对 于 服务 的 部 署 及 优化 ， 在 前 面 的 章节 都 已 经 详细 讲解 过 了 ， 限 于 篇 幅 ， 本 章 只 会 为 读者 规划 一 个 完整 搭建 企业 生产 场景 标准 的 集群 架构 


思路 ， 具 体 的 搭建 部 署 过程 将 作为 综合 作业 留 给 读者 自行 完成 。 做 任何 事情 都 需要 规划 ， 规 划 好 了 ， 实 施 起 来 就 会 顺风 顺水 。 


去 搭建 ， 这 样 效率 会 更 高 ， 收 获 会 更 大 。 


15.3 ”中 小 规模 网 站 集群 架构 综合 说 明 


如 果 读 者 能 顺利 完成 了 上 述 设计 的 架构 搭建 ， 那 么 图 15-11 就 是 搭建 后 的 架构 图 全 萄 了 。 


因此 ， 老 男孩 也 希望 读者 先 看 懂 本 章 的 规划 思路 ,然后 自行 设计 架构 方案 , 再 


图 15-11 企业 中 小 规模 网 站 集群 总 架构 逻辑 图 


